《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 以色列公司利用間諜軟件監(jiān)控多國政客記者

以色列公司利用間諜軟件監(jiān)控多國政客記者

2021-07-24
來源:嘶吼專業(yè)版
關(guān)鍵詞: 以色列 間諜 監(jiān)控

  由一家以色列公司創(chuàng)建并據(jù)稱被世界各國政府用來監(jiān)視持不同政見者的一組獨(dú)特的間諜軟件已被微軟發(fā)現(xiàn)。

  加拿大多倫多大學(xué)Munk全球事務(wù)學(xué)院旗下跨學(xué)科實(shí)驗(yàn)室Citizen Lab與微軟首先披露該惡意軟件,。據(jù)Citizen Lab稱,,自2014年到2020年之間,這家私營公司總計(jì)換了5個(gè)公司名稱,從Candiru,、DF Associates,、Grindavik Solutions、Taveta到Saito Tech,。據(jù)報(bào)道該公司專門向政府出售其產(chǎn)品,。根據(jù)周四發(fā)布的一份咨詢報(bào)告,這款新間諜軟件DevilsTongue通過利用Windows中的一對(duì)0day漏洞(現(xiàn)已修補(bǔ)),,已被用于針對(duì)公民社會(huì)的高度針對(duì)性的網(wǎng)絡(luò)攻擊,。

  Citizen Lab和微軟日前表示,至少有10個(gè)國家的上百名知名活動(dòng)人士遭受到了這款DevilsTongue間諜軟件攻擊,,其中包括政治家、人權(quán)活動(dòng)家,、記者,、學(xué)者、大使館工作人員和持不同政見者,。被監(jiān)控的對(duì)象遍及全球50多個(gè)國家,,包括亞美尼亞、伊朗,、以色列,、黎巴嫩、巴勒斯坦,、新加坡,、西班牙、土耳其,、英國和也門,。

  微軟的串聯(lián)咨詢公司表示:“Sourgum通常銷售網(wǎng)絡(luò)武器,使其客戶(通常是世界各地的政府機(jī)構(gòu))能夠入侵目標(biāo)的計(jì)算機(jī),、電話,、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和互聯(lián)網(wǎng)連接設(shè)備,然后這些自己機(jī)構(gòu)選擇目標(biāo)和實(shí)際運(yùn)作對(duì)象,?!?/p>

  Citizen Lab的研究人員表示,DevilsTongue可以從各種帳戶中竊取數(shù)據(jù)和消息,,包括Facebook,、Gmail、Skype和Telegram,。間諜軟件還可以捕獲瀏覽歷史記錄,、cookies和密碼,打開目標(biāo)的網(wǎng)絡(luò)攝像頭和麥克風(fēng),,并截取屏幕照片,。

  該公司表示:“從Signal Private Messenger等其他應(yīng)用程序中獲取的數(shù)據(jù)是作為附件出售的,。”

  微軟指出,,被盜的cookie稍后可以被攻擊者用來以受害者身份登錄網(wǎng)站,,以進(jìn)行進(jìn)一步的信息收集。

  Citizen Lab研究人員表示,,該代碼可以感染和監(jiān)控Android手機(jī),、云帳戶、iPhone,、Mac和PC,,并指出DevilsTongue的命令和控制(C2)基礎(chǔ)設(shè)施涉及750多個(gè)網(wǎng)站,包括“偽裝成倡導(dǎo)組織的域名,,例如國際特赦組織,、Black Lives Matter運(yùn)動(dòng)以及媒體公司?!?/p>

  數(shù)百萬歐元

  根據(jù)Citizen Lab獲得的一份泄露的提案,,Deviltongue作為一個(gè)工具包售價(jià)高達(dá)數(shù)百萬歐元。它可以部署在多種攻擊媒介中,,包括通過惡意鏈接,、電子郵件中的附加文件和中間人攻擊。成本取決于用戶想要維持的并發(fā)感染數(shù)量,。

  Citizen Lab表示:“1600萬歐元的項(xiàng)目提案允許無限數(shù)量的間諜軟件感染嘗試,,但只能同時(shí)監(jiān)控10臺(tái)設(shè)備”?!邦~外支付150萬歐元,,客戶就可以購買同時(shí)監(jiān)控15臺(tái)額外設(shè)備并附加一個(gè)在另外一個(gè)國家感染設(shè)備的能力;額外支付550萬歐元,,客戶可以同時(shí)監(jiān)控另外25臺(tái)設(shè)備,,并在另外五個(gè)國家進(jìn)行間諜活動(dòng)?!?/p>

  它補(bǔ)充說:“客戶可以額外支付150萬歐元的費(fèi)用,,購買遠(yuǎn)程shell功能,這使他們可以完全訪問在目標(biāo)計(jì)算機(jī)上運(yùn)行的任何命令或程序,。這種功能尤其令人擔(dān)憂,,因?yàn)樗€可用于將文件,例如植入犯罪材料等等,,下載到受感染的設(shè)備上,。”

  DevilsTongue的使用在少數(shù)幾個(gè)國家受到限制,包括中國,、伊朗,、以色列、俄羅斯和美國,。然而,,其中顯然也存在漏洞。

  Citizen Lab的研究人員說:“微軟在伊朗觀察到了Candiru的受害者,,這表明在某些情況下,,Candiru的產(chǎn)品確實(shí)在受限制的地區(qū)運(yùn)行。此外,,本報(bào)告中披露的目標(biāo)基礎(chǔ)設(shè)施包括偽裝成俄羅斯郵政服務(wù)的域名,。”

  0 day漏洞利用

  該間諜軟件利用了Windows中的兩個(gè)特權(quán)提升安全漏洞CVE-2021-31979和CVE-2021-33771,,這兩個(gè)漏洞都在本周微軟的7月補(bǔ)丁星期二更新中得到了解決,。微軟指出,這些攻擊是通過“影響流行瀏覽器和我們的Windows操作系統(tǒng)的一系列漏洞利用”進(jìn)行的,。

  微軟表示,這兩個(gè)漏洞都使攻擊者能夠逃脫瀏覽器沙箱并獲得內(nèi)核代碼執(zhí)行權(quán):

  ?CVE-2021-31979:基于Windows NT的操作系統(tǒng)(NTOS)中的整數(shù)溢出,?!斑@種溢出導(dǎo)致計(jì)算出的緩沖區(qū)大小不正確,然后將其用于在內(nèi)核池中分配緩沖區(qū),。在將內(nèi)存復(fù)制到小于預(yù)期的目標(biāo)緩沖區(qū)時(shí),,隨后會(huì)發(fā)生緩沖區(qū)溢出??衫么寺┒雌茐南噜弮?nèi)存分配中的對(duì)象,。使用來自用戶模式的API,內(nèi)核池內(nèi)存布局可以通過受控分配進(jìn)行整理,,從而將對(duì)象放置在相鄰的內(nèi)存位置,。一旦被緩沖區(qū)溢出損壞,這個(gè)對(duì)象就可以變成用戶模式到內(nèi)核模式的讀/寫原語,。有了這些原語,,攻擊者就可以提升他們的特權(quán)?!?/p>

  ?CVE-2021-33771:NTO中的一種競爭條件,,導(dǎo)致內(nèi)核對(duì)象被釋放后再次被使用。微軟解釋說:“通過使用多個(gè)競爭線程,,可以釋放內(nèi)核對(duì)象,,并由可控對(duì)象回收釋放的內(nèi)存。”“與之前的漏洞一樣,,可以使用用戶模式API向內(nèi)核池內(nèi)存噴灑分配,。如果成功,可控對(duì)象可用于形成用戶模式到內(nèi)核模式的讀/寫原語并提升權(quán)限,?!?/p>

  微軟表示除了修補(bǔ)之外,為了減輕攻擊,,它還“在我們的產(chǎn)品中內(nèi)置了針對(duì)Sourgum創(chuàng)建的惡意軟件保護(hù)措施”,。

  “這些攻擊主要針對(duì)消費(fèi)者賬戶,表明Sourgum的客戶正在追求特定的個(gè)人,,我們本周發(fā)布的保護(hù)措施將阻止Sourgum的工具在已被感染的計(jì)算機(jī)上運(yùn)行,,并防止在更新的計(jì)算機(jī)、運(yùn)行Microsoft Defender Antivirus的計(jì)算機(jī)以及使用Microsoft Defender for Endpoint的計(jì)算機(jī)上發(fā)生新的感染,?!?/p>

  此次用于政府監(jiān)控的網(wǎng)絡(luò)攻擊工具包的私人經(jīng)紀(jì)公司在網(wǎng)絡(luò)上被公開,主要?dú)w功于另一家以色列公司NSO Group,,該公司創(chuàng)建了Pegasus間諜軟件,,使客戶能夠遠(yuǎn)程利用和監(jiān)控移動(dòng)設(shè)備。NSO Group長期以來堅(jiān)持認(rèn)為,,其工具包旨在成為政府打擊犯罪和恐怖活動(dòng)的工具,,并且不會(huì)和任何政府濫用它。然而,,批評(píng)人士表示,,專制政府將其用于更邪惡的目的,以追蹤持不同政見者,、記者和其他公民社會(huì)成員——而NSO集團(tuán)則為他們提供幫助,。去年12月,Pegasus在iPhone的Apple iMessage功能中添加了一個(gè)0day漏洞,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。