Peneliti: Surveillance malware didistribusikan melalui Flash Player mengeksploitasi

Aktivis politik dari Timur Tengah menjadi sasaran serangan yang mengeksploitasi kerentanan Flash Player yang sebelumnya tidak diketahui untuk menginstal disebut program intersepsi sah yang dirancang untuk penggunaan penegakan hukum, peneliti keamanan dari vendor antivirus Kaspersky Lab mengatakan Selasa.

Kamis lalu, Adobe merilis pembaruan darurat untuk Flash Player untuk mengatasi dua kerentanan zero-day-unpatched yang sudah menjadi digunakan dalam serangan aktif. Dalam penasehat keamanan pada saat itu, Adobe memuji Sergey Golovanov dan Alexander Polyakov dari Kaspersky Lab untuk melaporkan salah satu dari dua kerentanan, yaitu yang diidentifikasi sebagai CVE-2013-0633.

Pada hari Selasa, para peneliti Kaspersky Lab mengungkapkan informasi lebih lanjut. tentang bagaimana mereka awalnya menemukan kerentanan. "Eksploitasi untuk CVE-2013-0633 telah diamati saat memantau malware pengintai 'legal' yang dibuat oleh perusahaan Italia HackingTeam," kata Golovanov dalam posting blog.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

HackingTeam berbasis di Milan tetapi juga hadir di Annapolis, Maryland, dan Singapura. Menurut situs webnya, perusahaan mengembangkan program pengawasan komputer yang disebut Remote Control System (RCS) yang dijual kepada penegak hukum dan badan intelijen.

“Di sini, di HackingTeam, kami percaya bahwa memerangi kejahatan harus mudah: kami memberikan yang efektif, mudah -menggunakan teknologi ofensif ke komunitas penegak hukum dan intelijen di seluruh dunia, "kata perusahaan di situs webnya.

Kaspersky Lab telah memantau HackingTeam's RCS-juga dikenal sebagai DaVinci-sejak Agustus 2012, kata Costin Raiu, direktur Kaspersky Tim riset dan analisis global Lab.

RCS / DaVinci dapat merekam percakapan teks dan audio dari berbagai program obrolan, termasuk Skype, Yahoo Messenger, Google Talk, dan MSN Messenger; dapat mencuri riwayat penelusuran web; dapat menyalakan mikrofon dan webcam komputer; dapat mencuri kredensial yang disimpan di browser dan program lain, dan banyak lagi, katanya.

Para peneliti Kaspersky telah mendeteksi sekitar 50 insiden sejauh ini yang melibatkan DaVinci digunakan melawan pengguna komputer dari berbagai negara termasuk Italia, Meksiko, Kazakhstan, Arab Saudi, Turki, Argentina, Aljazair, Mali, Iran, India, dan Ethiopia.

Serangan terbaru yang mengeksploitasi aktivis yang ditargetkan kerentanan CVE-2013-0633 dari sebuah negara di Timur Tengah, kata Raiu. Namun, ia menolak menyebutkan nama negara untuk menghindari pengungkapan informasi yang dapat menyebabkan korban diidentifikasi.

Tidak jelas apakah eksploitasi zero-day untuk CVE-2013-0633 dijual oleh HackingTeam bersama dengan malware pengintai atau jika siapa pun yang membeli program itu memperoleh eksploit dari sumber yang berbeda, kata Raiu.

HackingTeam tidak segera menanggapi permintaan untuk komentar.

Dalam serangan sebelumnya yang dideteksi oleh Kaspersky Lab, DaVinci didistribusikan melalui eksploitasi untuk Flash Player Kerentanan yang ditemukan oleh firma riset kerentanan Prancis Vupen, kata Raiu.

Vupen secara terbuka mengakui menjual eksploitasi zero-day, tetapi mengklaim bahwa pelanggannya adalah pemerintah dan lembaga penegak hukum dari negara-negara yang menjadi anggota atau mitra NATO, ANZUS atau organisasi geopolitik ASEAN.

Pemasang DaVinci dijatuhkan pada komputer oleh eksploitasi CVE-2013-0633 pada tahap pertama serangan itu ditandatangani dengan masalah sertifikat digital yang valid d oleh GlobalSign kepada individu bernama Kamel Abed, kata Raiu.

GlobalSign tidak segera menanggapi permintaan untuk informasi lebih lanjut tentang sertifikat ini dan statusnya saat ini.

Ini konsisten dengan serangan DaVinci di masa lalu di mana pipet itu juga ditandatangani secara digital, kata Raiu. Sertifikat sebelumnya yang digunakan untuk menandatangani droping DaVinci didaftarkan ke salah satu Salvetore Macchiarella dan sebuah perusahaan bernama OPM Security yang terdaftar di Panama, katanya.

Menurut situsnya, OPM Security menjual produk yang disebut Power Spy seharga € 200 (US $ 267) di bawah judulnya “memata-matai suami, istri, anak-anak atau karyawan Anda.” Daftar fitur Power Spy sangat mirip dengan daftar fitur DaVinci, yang berarti bahwa OPM mungkin adalah reseller program pengawasan HackingTeam, kata Raiu.

Ini adalah bukan kasus pertama ketika malware pengawasan hukum telah digunakan terhadap aktivis dan pembangkang di negara-negara di mana kebebasan berbicara terbatas.

Ada laporan sebelumnya tentang FinFisher, perangkat pengawasan komputer yang dikembangkan oleh perusahaan yang berbasis di Inggris, Gamma Group International, yang digunakan untuk melawan aktivis politik di Bahrain.

Para peneliti dari Lab Citizen di Sekolah Munk School of Global University of Toronto juga melaporkan kembali pada bulan Oktober bahwa RCS HackingTeam (DaVinc i) program digunakan untuk melawan aktivis hak asasi manusia dari Uni Emirat Arab.

Jenis program ini adalah bom waktu karena kurangnya regulasi dan penjualan yang tidak terkendali, kata Raiu. Beberapa negara memiliki batasan pada ekspor sistem kriptografi, yang secara teoritis akan mencakup program-program tersebut, tetapi pembatasan ini dapat dengan mudah dilewati dengan menjual perangkat lunak melalui pengecer lepas pantai, katanya.

Masalah besar adalah bahwa program-program ini dapat digunakan tidak hanya oleh pemerintah untuk memata-matai warga mereka sendiri, tetapi juga dapat digunakan oleh pemerintah untuk memata-matai pemerintah lain atau dapat digunakan untuk spionase industri dan perusahaan, kata Raiu.

Ketika program seperti itu digunakan untuk menyerang perusahaan besar atau digunakan oleh cyberterrorists, yang akan bertanggung jawab untuk perangkat lunak jatuh ke tangan yang salah, Raiu bertanya.

Dari perspektif Kaspersky Lab, tidak ada pertanyaan tentang itu: Program-program ini akan terdeteksi sebagai malware terlepas dari tujuan yang dimaksudkan, katanya.