Бесплатно Экспресс-аудит сайта:

17.07.2021

Эксперты связали три уязвимости 0-day с израильским производителем инструментов для хакинга

Специалисты Microsoft и Citizen Lab выявили связь между израильской компанией Candiru и двумя эксплоитами для уязвимостей нулевого дня в Windows, использовавшимися для развертывания ранее неизвестного шпионского ПО на устройствах как минимум сотни жертв, включая политиков, защитников прав человека, журналистов, ученых, сотрудников посольств и диссидентов.

Созданная в 2014 году Candiru является частью процветающего израильского рынка информационной безопасности и специализируется на продаже инструментов для взлома государственным спецслужбам по всему миру. Хотя о роде ее деятельности известно уже давно, о самой компании и ее возможностях не было практически никакой информации, и отчеты Microsoft и Citizen Lab являются первыми, в которых представлен подробный технический анализ одного из хакерских инструментов Candiru.

Речь идет об инструменте под названием DevilsEye – вредоносной программе для Windows с функциями шпионского ПО, обеспечивающей клиентам Candiru полный доступ к зараженному устройству.

Впервые о существовании DevilsEye узнали исследователи из Citizen Lab при Университете Торонто. Они наткнулись на него во время проведения экспертизы устройства «политически активной жертвы в Западной Европе» и передали свою находку коллегам из Microsoft. Благодаря обширной базе телеметрических данных компании удалось выявить как минимум сто зараженных DevilsEye устройств в Палестине, Израиле Иране, Ливане, Йемене, Испании, Великобритании, Турции, Армении и Сингапуре.

Как сообщает Microsoft, вредонос, как правило, распространялся через сайты с наборами эксплоитов для уязвимостей в браузерах. Жертву заманивали на эти сайты, и после эксплуатации уязвимостей на ее устройстве устанавливалось вредоносное ПО, затем использовавшее эксплоит второго этапа атаки для получения прав администратора на Windows.

Цепочка атаки была отлично продумана и использовала ранее неизвестные уязвимости (уязвимости нулевого дня). Сюда входя две уязвимости в Chrome ( CVE-2021-21166 и CVE-2021-30551 ), уязвимость в Internet Explorer ( CVE-2021-33742 ), и две – в Windows ( CVE-2021-31979 и CVE-2021-33771 ). Все уязвимости в настоящее время уже исправлены.

Первые три уязвимости были обнаружены специалистами Google, которые на днях опубликовали отчет о них. В компании отнесли эксплоиты для уязвимостей в Chrome и IE на счет неназванного производителя коммерческого ПО для слежки. По данным Google, эксплоиты были проданы как минимум двум работающим на правительство киберпреступным группам, которые использовали их в атаках на пользователей в Армении. Позднее специалисты дополнила свой отчет, сообщив, что компанией, о которой идет речь, является Candiru.