微软与公民实验室联手揪出黑客公司Candiru打造的间谍软件

加拿大多伦多大学Munk全球事务学院旗下跨学科实验室Citizen Lab与微软本周披露了另一个来自以色列的间谍软件DevilsTongue,它能够感染与监控iPhone、Android手机、Mac、Windows PC及云计算账号,全球已有超过100名受害者,是由一家神秘的黑客公司黑客公司Candiru所打造。

DevilsTongue最早是由网络犯罪分析机构Team Cymru的遥测所发现,再由Citizen Lab出面向受害者取得被感染的硬盘并复制了DevilsTongue,再交给微软进行分析。

DevilsTongue开采多个零时差漏洞

根据微软的调查,DevilsTongue攻击程序串联了浏览器与Windows操作系统的多个零时差漏洞,其中有两个漏洞是微软始于今年7月修补的CVE-2021-31979与CVE-2021-33771。

其中,CVE-2021-31979为基于Windows NT之操作系统的整数溢出漏洞,可用来破坏邻近内存中的对象,将对象转成用户模式至核心模式,以便黑客扩张权限;CVE-2021-31979起因于NTOS内的条件竞争,造成核心对象的释放后使用,释放后的内存被一个可控制的对象把持,同样可用来扩张权限。

此外,Citizen Lab则发现,Google在3月于Chrome中修补的CVE-2021-21166,以及6月修补的Chrome漏洞CVE-2021-30551皆已被黑客开采,相关攻击中用来传播恶意程序的9个网站中,有8个与Candiru的指纹匹配,相信这些恶意程序也与Candiru有关。

间谍能力强大

不管是微软或Citizen Lab都还在研究DevilsTongue的功能,初步调查显示它具备强大的间谍能力,包括基本的文件搜集、注册档查询、执行WMI命令与查询SQLite数据库等,它能同时从LSASS与浏览器中窃取受害者的凭证,从Chrome、IE、Firefox、Safari到Opera,甚至能够窃取加密通讯程序Signal中的对话。

此外,它还能自不同的浏览器取得Cookie,利用这些Cookie登录受害者所使用的网络服务以进一步搜集信息,还能直接通过受害者计算机使用这些Cookie,涵盖脸书、Twitter、Gmail、Yahoo、Mail.ru、Odnoklassniki与Vkontakte,以读取消息与照片,或是直接以受害者名义传递消息。

该消息传递功能将允许黑客用来传送恶意程序给其它的攻击对象。

微软说,DevilsTongue功能强大,同时具备用户模式与核心模式能力,也有厉害的防关注与反分析能力,所有的元素都显示出DevilsTongue开发者非常专业,拥有撰写Windows恶意程序的丰富经验,也非常熟悉操作安全。

微软识别出超过100名感染了DevilsTongue的受害者,有大约一半的受害者位于巴勒斯坦,其它的受害者则主要分布在以色列、伊朗、黎巴嫩、也门、西班牙、英国、土耳其、亚美尼亚与新加坡,他们多半是人权斗士、异议份子、新闻记者、活动家或政治人物。

除了微软分析了Windows上的DevilsTongue之外,据说DevilsTongue也能用来感染与监控iPhone、Android、Mac及云计算账号。

低调的Candiru

有别于另一家以色列黑客公司NSO Group,Candiru刻意保持低调。其实《Forbes》在2019年就曾报道过Candiru,发现Candiru虽然在2013年登记了官网,但3年后便把官网关闭。

除了没有官网之外,Citizen Lab的调查则显示,自2014年到2020年之间,Candiru总计换了5个公司名称,从Candiru、DF Associates、Grindavik Solutions、Taveta到Saito Tech。

image: Citizen Lab

不过,Citizen Lab依然从其它渠道找到了Candiru的营销文件,显示它的主要客户为各国政府,且售价昂贵。政府只要支付1,600万欧元就能无限制地执行攻击与感染行动,但同时只能监控10个设备,若要同时监控15个设备,那么必须再额外支付150万欧元,但受监控的设备必须处于同一个国家。

image: Citizen Lab

另有一名Candiru前员工曾控告Candiru,法院文件披露了Candiru在成立两年内就创下了3,000万美元的营收,据传客户包括乌兹别克斯坦、沙特阿拉伯与阿联酋、新加坡及卡塔尔。

根据Citizen Lab的扫描,全球约有750个网站为Candiru的间谍软件架构的成员,且有不少网站冒充为各种倡议组织。

image: Citizen Lab

发表评论