Microsoft, Google, Citizen Lab sprengen Zero-Day-Bug-Exploiting-Spyware, die an Regierungen verkauft wurde • The Register

07/17/2021 by Nilzeitung

von Ty Davis   16. Juli 2021  6 Minuten lesen

„Die deaktivierten Waffen wurden bei Präzisionsangriffen gegen mehr als 100 Opfer auf der ganzen Welt eingesetzt, darunter Politiker, Menschenrechtsaktivisten, Journalisten, Akademiker, Botschaftsangestellte und politische Dissidenten“,

MS,-Analyse- Software-Patches von Microsoft haben diese Woche zwei Schwachstellen geschlossen, die von Spyware ausgenutzt wurden, die der israelische Entwickler Candiru angeblich an Regierungen verkauft haben soll.

Am Donnerstag veröffentlichte Citizen Lab einen Bericht, in dem Candiru als Hersteller des Spionage-Toolkits bezeichnet wird, einem Unternehmen mit dem Codenamen Sourgum von Microsoft. Es wird davon ausgegangen, dass die Spyware mit dem Codenamen DevilsTongue von Microsoft mindestens zwei Zero-Day-Löcher in Windows ausgenutzt hat, um die Computer bestimmter Zielpersonen zu infizieren.

Redmond sagte, die Systeme von mindestens 100 Personen – von Politikern, Menschenrechtsaktivisten und Journalisten bis hin zu Akademikern, Botschaftsangestellten und politischen Dissidenten – wurden von Sourgums Code infiltriert; etwa die Hälfte befindet sich in Palästina, der Rest verteilt sich auf Israel, den Iran, den Libanon, den Jemen, Spanien, das Vereinigte Königreich, die Türkei, Armenien und Singapur.

Sobald es einen Windows-PC umfassend kompromittiert hat, kann DevilsTongue die Dateien des Opfers exfiltrieren, seine Anmeldeinformationen für Online- und Netzwerkkonten abrufen, Chat-Nachrichten ausspionieren und vieles mehr. Candiru wirbt auch mit Spyware, die iPhones, Android-Geräte und Macs sowie Windows-PCs infizieren und überwachen kann. Die Produkte sollen an Regierungsbehörden und andere Organisationen verkauft werden, die dann die Spionagesoftware gegen ihre ausgewählten Ziele einsetzen.

„Die offensichtlich weit verbreitete Präsenz von Candiru und der Einsatz seiner Überwachungstechnologie gegen die globale Zivilgesellschaft sind eine starke Erinnerung daran, dass die Söldner-Spyware-Industrie viele Akteure umfasst und anfällig für weit verbreiteten Missbrauch ist“, sagte Citizen Lab, Teil der Universität Toronto, in seinen Bericht.

„Dieser Fall zeigt einmal mehr, dass Spyware-Anbieter ohne internationale Sicherheitsvorkehrungen oder strenge staatliche Exportkontrollen an Regierungskunden verkaufen, die ihre Dienste routinemäßig missbrauchen.“

Uns wurde mitgeteilt, dass mindestens 764 Domain-Namen gefunden wurden, die wahrscheinlich auf irgendeine Weise verwendet wurden, um die Malware von Candiru an die Opfer weiterzuleiten: Websites, die diese Domains verwenden, werden normalerweise als legitime Websites von Amnesty International und Flüchtlingsorganisationen, den Vereinten Nationen, Regierungs-Websites, Nachrichtenagenturen und Black Lives Matter-Communitys. Die Idee scheint darin zu bestehen, Besucher auf Webseiten zu locken, die Browser-, Microsoft Office- und Windows-Bugs ausnutzen, um nicht nur PCs mit DevilsTongue zu infizieren, sondern der Spyware auch Zugriff auf Administratorebene zu gewähren.

Wie läuft das Patchen?

Microsoft konnte die von Candirus Software ausgenutzten Betriebssystemfehler am Patch-Dienstag dieses Monats beheben, nachdem Citizen Lab eine Festplatte von “einem politisch aktiven Opfer in Westeuropa” erhalten hatte, hieß es. Redmond hat die Spyware zurückentwickelt, um den Infektionsprozess herauszufinden.

Der Windows-Goliath sah, dass zwei Sicherheitslücken zur Rechteausweitung, CVE-2021-31979 und CVE-2021-33771, ausgenutzt wurden, und hat sie diese Woche gepatcht.

„Die deaktivierten Waffen wurden bei Präzisionsangriffen gegen mehr als 100 Opfer auf der ganzen Welt eingesetzt, darunter Politiker, Menschenrechtsaktivisten, Journalisten, Akademiker, Botschaftsangestellte und politische Dissidenten“, sagte Cristin Goodwin, GM der Digital Security Unit von Microsoft.

In Redmonds technischem Überblick über die Spyware heißt es, dass die DevilsTongue-Malware auf einem System Fuß fassen würde, indem sie beispielsweise Fehler im Browser des Benutzers ausnutzt, wenn er eine mit Sprengfallen versehene Website besucht, und dann die oben erwähnte Erhöhung der Berechtigungen nutzt Löcher, um in den Kernel zu gelangen und die totale Kontrolle über die Box zu erlangen.

Einmal auf einem Windows-PC ist die böse Software in der Lage, alle Sitzungscookies und Passwörter von Browsern zu sammeln und die Kontrolle über Social-Media-Konten und Apps von Drittanbietern zu übernehmen. Es enthielt mehrere neuartige Funktionen, die eine Erkennung verhindern sollten, was Microsoft zu dem Schluss brachte, dass die „Entwickler sehr professionell sind, umfangreiche Erfahrung mit dem Schreiben von Windows-Malware haben und ein gutes Verständnis für Betriebssicherheit haben“.

Die Schokoladenfabrik kommt herein und warnt, dass es noch nicht vorbei ist

Google hat diese Woche eine Reihe von Fehlern detailliert beschrieben, die von bösartigen Webseiten und Dokumenten ausgenutzt wurden, um die Codeausführung auf den Computern der Internetnutzer zu erreichen.

Anscheinend hat DevilsTongue CVE-2021-21166 und CVE-2021-30551 in Chrome und CVE-2021-33742 in der MSHTML-Skript-Engine des Internet Explorers – die beispielsweise von Microsoft Office verwendet wird – ausgenutzt und sie mit den oben genannten Windows-Bugs zur Installation verkettet auf dem PC des Opfers und erhält Zugriff auf Administratorebene auf Daten und Anwendungen. Alles, was ein Opfer tun muss, ist, in Chrome zu einer mit Sprengfallen versehenen Seite zu surfen oder ein in böser Absicht erstelltes Dokument in Office zu öffnen.

Diese Mängel sind mittlerweile behoben. „Basierend auf unserer Analyse stellen wir fest, dass die Exploits von Chrome und Internet Explorer … von demselben Anbieter entwickelt und verkauft wurden, der Kunden auf der ganzen Welt Überwachungsfunktionen bietet“, bemerkten die Google-Mitarbeiter Maddie Stone und Clement Lecigne und fügten hinzu: „Citizen Lab hat einen Bericht veröffentlicht published die Aktivität mit dem Spyware-Anbieter Candiru in Verbindung zu bringen.“

Google dokumentierte außerdem einen nicht zusammenhängenden Fehler bei der Ausführung von Remote-Code in der Webkit-Engine von Safari.

Uns wurde gesagt, dass die Chrome-Fehler entdeckt wurden, um Windows-Computer in Armenien zu kommandieren. Marken würden auf Websites gelockt, die ihre Bildschirmauflösung, Zeitzone, unterstützte Sprachen, Browser-Plugins und verfügbare MIME-Typen analysierten, um zu entscheiden, ob ihr Browser kompromittiert werden sollte oder nicht.

“Diese Informationen wurden von den Angreifern gesammelt, um zu entscheiden, ob ein Exploit an das Ziel geliefert werden soll oder nicht”, sagte die Threat Analysis Group (TAG) von Google. „Mit entsprechenden Konfigurationen konnten wir zwei Zero-Day-Exploits wiederherstellen.“

Weitere Untersuchungen ergaben, dass armenische Windows-Benutzer über den oben genannten Internet Explorer-Fehler ins Visier genommen wurden. Dies würde durch das Öffnen eines Office-Dokuments ausgelöst, das entweder ein bösartiges ActiveX-Objekt oder ein VBA-Makro enthält. Microsoft hat dieses Problem letzten Monat behoben.

Lass es regnen

Candiru ist seit 2014 in Betrieb und erinnert uns an ein anderes israelisches Surveillanceware-Unternehmen: NSO Group. Es ist ein lukratives Geschäft, nach einem Vertrag von Citizen Lab zu urteilen.

Der Deal im Wert von 16,85 Millionen Euro (20 Millionen US-Dollar) bietet unbegrenzte Malware-Einschleusungsversuche, aber nur die Möglichkeit, zehn Geräte in einem Land direkt zu überwachen. Für weitere 1,5 Millionen Euro erhält man Zugang zu 15 weiteren Geräten, und für 5,5 Millionen Euro können Käufer an 25 Handys in bis zu fünf Ländern schnüffeln.

Es gibt auch kostenpflichtige optionale Extras, um auf bestimmte Konten zuzugreifen. Wenn Sie die Signalnachrichten eines Ziels möchten, kostet das weitere 500.000 €. Candiru bietet auch Zugang zu Twitter, Viber und WeChat eines Opfers für etwa die Hälfte dieses Betrags. Die Schulung für vier Admins und acht Operatoren ist im Preis inbegriffen.

Laut Citizen Lab scheint Candiru in den letzten sieben Jahren fünfmal seinen Namen geändert zu haben und hält sich sehr zurück. Ein ehemaliger Mitarbeiter, der das Unternehmen wegen verlorener Provisionen verklagte, behauptete, dass es 2017 einen Umsatz von 30 Millionen US-Dollar erzielt habe und die Geschäfte dank der Exportlizenz der Organisation gut laufen.

„Das israelische Verteidigungsministerium – von dem in Israel ansässige Unternehmen wie Candiru vor dem Verkauf ins Ausland eine Exportlizenz erhalten müssen – hat sich bisher als nicht bereit erwiesen, Überwachungsunternehmen einer strengen Prüfung zu unterziehen, die erforderlich wäre, um Missbrauch der Art zu verhindern, die wir und andere Organisationen identifiziert haben“, sagte Citizen Lab.

„Das Ausfuhrgenehmigungsverfahren in diesem Land ist fast vollständig undurchsichtig, es fehlen sogar die grundlegendsten Maßnahmen der öffentlichen Rechenschaftspflicht oder Transparenz.“

Man fragt sich, wie diese Spyware in Amerika fliegen würde. Facebook verklagt die NSO Group und wirft ihr vor, über eine Sicherheitslücke in WhatsApp unrechtmäßig die Handys von Nutzern kompromittiert zu haben, um sie auszuspionieren.

Die Anwälte von NSO haben eine Vielzahl von rechtlichen Argumenten angeführt und behauptet, dass es seine Software nur an Regierungen für kriminelle oder anti-terroristische Arbeiten lizenziert und somit über eine hoheitliche Immunität verfügt, dass es auf dem US-Markt nicht präsent ist, und behaupten, dass Facebook selbst versucht habe, die Pegasus-Snoopware des Unternehmens, wurde jedoch abgelehnt. Irgendwann hat sich NSO nicht einmal die Mühe gemacht, vor Gericht zu erscheinen.

Der Fall läuft. US-Senator Ron Wyden (D-OR) hat eine Untersuchung zu NSO-Produkten gefordert, die bei den Strafverfolgungsbehörden angepriesen werden. ®

Quelle/Medienagenturen/MS/debatepost.com