Onderzoekers: Surveillance-malware gedistribueerd via Flash Player exploit

Politieke activisten uit het Midden-Oosten waren het doelwit van aanvallen waarbij een voorheen onbekende Flash Player-kwetsbaarheid werd misbruikt om een genaamd wettig onderscheppingsprogramma ontworpen voor gebruik door wetshandhavers, meldden beveiligingsonderzoekers van antivirus-leverancier Kaspersky Lab dinsdag.

Afgelopen donderdag bracht Adobe een nood-update voor Flash Player uit om twee zero-day-unpatched-kwetsbaarheden aan te pakken die al bezig waren gebruikt bij actieve aanvallen. In haar toenmalige veiligheidsaanbeveling schreef Adobe Sergey Golovanov en Alexander Polyakov van Kaspersky Lab over voor het melden van een van de twee kwetsbaarheden, namelijk die geïdentificeerd als CVE-2013-0633.

Op dinsdag onthulden onderzoekers van Kaspersky Lab meer informatie over hoe ze de kwetsbaarheid oorspronkelijk ontdekten. "De exploits voor CVE-2013-0633 zijn geobserveerd tijdens het monitoren van de zogenaamde 'legale' surveillance malware die is gemaakt door het Italiaanse bedrijf HackingTeam," zei Golovanov in een blogpost.

[Lees meer: ​​Hoe malware te verwijderen van uw Windows-pc]

HackingTeam is gevestigd in Milaan, maar is ook aanwezig in Annapolis, Maryland en Singapore. Volgens haar website ontwikkelt het bedrijf een computerbewakingsprogramma met de naam Remote Control System (RCS) dat wordt verkocht aan wetshandhavings- en inlichtingendiensten.

"Hier in HackingTeam vinden we dat het bestrijden van criminaliteit eenvoudig moet zijn: we bieden effectieve, eenvoudige om offensieve technologie te gebruiken voor de wereldwijde wetshandhavings- en inlichtingengemeenschappen, "zegt het bedrijf op zijn website.

Kaspersky Lab volgt de RCS van HackingTeam, ook bekend als DaVinci, sinds augustus 2012, zei Costin Raiu, directeur van Kaspersky Lab's wereldwijde onderzoeks- en analyseteam.

RCS / DaVinci kan tekst- en audiogesprekken opnemen van verschillende chatprogramma's, waaronder Skype, Yahoo Messenger, Google Talk en MSN Messenger; kan webzoekgeschiedenis stelen; kan de microfoon en webcam van een computer aanzetten; kan referenties in browsers en andere programma's stelen en nog veel meer, zei hij.

Kaspersky-onderzoekers hebben tot nu toe ongeveer 50 incidenten ontdekt waarbij DaVinci werd gebruikt tegen computergebruikers uit verschillende landen, waaronder Italië, Mexico, Kazachstan, Saoedi-Arabië, Turkije, Argentinië, Algerije, Mali, Iran, India en Ethiopië.

De meest recente aanvallen die gebruikmaakten van de CVE-2013-0633-kwetsbaarheid gericht op activisten uit een land in het Midden-Oosten, zei Raiu. Hij weigerde echter het land een naam te geven om te voorkomen dat informatie werd blootgesteld die ertoe kon leiden dat de slachtoffers werden geïdentificeerd.

Het is niet duidelijk of de zero-day exploit voor CVE-2013-0633 werd verkocht door HackingTeam samen met de surveillance malware of als degene die het programma heeft aangeschaft, de exploit van een andere bron heeft gekregen, antwoordde Raiu.

HackingTeam reageerde niet onmiddellijk op een verzoek om commentaar.

Bij eerdere door Kaspersky Lab gedetecteerde aanvallen werd DaVinci gedistribueerd via exploits voor Flash Player kwetsbaarheden die werden ontdekt door het Franse onderzoeksbureau Vupen, zei Raiu.

Vupen geeft openlijk toe dat hij zero-day exploits verkoopt, maar beweert dat zijn klanten overheids- en wetshandhavingsinstanties zijn uit landen die lid of partner van de NAVO zijn, ANZUS of ASEAN geopolitieke organisaties.

Het DaVinci-installatieprogramma dat op de computer is gevallen door de CVE-2013-0633-exploit in de eerste fase van de aanval, werd ondertekend met een geldig probleem met het digitale certificaat d door GlobalSign aan een persoon genaamd Kamel Abed, zei Raiu.

GlobalSign reageerde niet onmiddellijk op een verzoek om meer informatie over dit certificaat en de huidige status ervan.

Dit komt overeen met eerdere DaVinci-aanvallen waarbij de druppelaar ook digitaal is ondertekend, zei Raiu. Eerdere certificaten die werden gebruikt om DaVinci-droppers te ondertekenen, werden geregistreerd bij één Salvetore Macchiarella en een bedrijf genaamd OPM Security geregistreerd in Panama, zei hij.

Volgens zijn website verkoopt OPM Security een product genaamd Power Spy voor € 200 (US $ 267) onder de kop "bespioneren uw echtgenoot, echtgenote, kinderen of werknemers." De lijst met functies van Power Spy lijkt sterk op de lijst met functies van DaVinci, wat betekent dat OPM mogelijk een wederverkoper is van het bewakingsprogramma van HackingTeam, aldus Raiu.

niet het eerste geval waarin wettige surveillance malware is gebruikt tegen activisten en dissidenten in landen waar de vrijheid van meningsuiting beperkt is.

Er zijn eerdere rapporten van FinFisher, een toolkit voor computerbewaking ontwikkeld door de in het Verenigd Koninkrijk gevestigde onderneming Gamma Group International, die wordt gebruikt tegen politieke activisten in Bahrein.

Onderzoekers van het Citizen Lab van de Munk School of Global Affairs van de Universiteit van Toronto meldden ook in oktober dat RCS van HackingTeam (DaVinc i) programma werd gebruikt tegen een mensenrechtenactivist uit de Verenigde Arabische Emiraten.

Dit type programma is een tikkende tijdbom vanwege het gebrek aan regulering en ongecontroleerde verkoop, zei Raiu. Sommige landen hebben beperkingen op de export van cryptografische systemen, die in theorie dergelijke programma's zouden omvatten, maar deze beperkingen kunnen gemakkelijk worden omzeild door de software te verkopen via offshore-resellers, zei hij.

Het grote probleem is dat deze programma's niet kunnen worden gebruikt alleen door regeringen om hun eigen burgers te bespioneren, maar kan ook door overheden worden gebruikt om andere regeringen te bespioneren of kan worden gebruikt voor industriële en bedrijfsspionage, aldus Raiu.

Wanneer dergelijke programma's worden gebruikt om grote bedrijven aan te vallen of worden gebruikt door cyberterroristen, die verantwoordelijk zijn voor het in verkeerde handen vallen van de software, vroeg Raiu.

Vanuit het perspectief van Kaspersky Lab is er geen sprake van: deze programma's worden als malware gedetecteerd, ongeacht het beoogde doel, zei hij.