الباحثون: البرامج الضارة للمراقبة الموزعة عبر Flash Player تستغل

يوم الخميس الماضي ، أصدرت شركة أدوبي تحديث طارئ لبرنامج فلاش بلاير من أجل معالجة اثنين من نقاط الضعف غير الصفر يوم صفر التي كانت بالفعل تستخدم في الهجمات النشطة. في تقريرها الأمني ​​في ذلك الوقت ، أشاد أدوبي بسيرجي جولوفانوف وألكسندر بولياكوف من شركة كاسبرسكي لاب للإبلاغ عن أحد هذين الثغرين ، وهما بالتحديد CVE-2013-0633

يوم الثلاثاء ، كشف باحثو كاسبرسكي لاب عن المزيد من المعلومات. حول كيف اكتشفوا أصلاً الثغرة الأمنية. وقال جولوفانوف في مدونة على موقع آخر: "لقد تمت ملاحظة مآثر CVE-2013-0633 أثناء مراقبة ما يسمى بالبرمجيات الخبيثة للمراقبة" القانونية "التي أنشأتها الشركة الإيطالية HackingTeam. [

] [المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الخاص بك الذي يعمل بنظام تشغيل Windows]

يقع HackingTeam في ميلانو ولكن له أيضًا وجود في أنابوليس وميريلاند وسنغافورة. ووفقًا لموقعها على الويب ، تقوم الشركة بتطوير برنامج لمراقبة الكمبيوتر يسمى نظام التحكم عن بعد (RCS) والذي يتم بيعه لأجهزة تطبيق القانون ووكالات الاستخبارات.

"هنا في HackingTeam نؤمن بأن مكافحة الجريمة يجب أن تكون سهلة: نحن نقدم فعالة وسهلة وتقول الشركة على موقعها على شبكة الإنترنت:

كاسبرسكي لاب تقوم بمراقبة نظام التحكم في الإنقاذ (HackingTeam) والمعروف بـ (DaVinci) منذ أغسطس 2012 ، وفقا لما قاله كوستين رايو ، مدير كاسبرسكي. فريق البحث والتحليل العالمي في Lab.

RCS / DaVinci يمكنه تسجيل المحادثات النصية والصوتية من برامج الدردشة المختلفة ، بما في ذلك Skype و Yahoo Messenger و Google Talk و MSN Messenger ؛ يمكن أن يسرق تاريخ تصفح الإنترنت. يمكن تشغيل ميكروفون الكمبيوتر وكاميرا ويب ؛ يمكن أن يسرق أوراق الاعتماد المخزنة في المتصفحات والبرامج الأخرى ، وأكثر من ذلك بكثير ، كما يقول

لقد اكتشف الباحثون في كاسبرسكي حوالي 50 حادثة حتى الآن شملت استخدام DaVinci ضد مستخدمي الكمبيوتر من مختلف البلدان بما في ذلك إيطاليا ، المكسيك ، كازاخستان ، المملكة العربية السعودية ، تركيا ، والأرجنتين ، والجزائر ، ومالي ، وإيران ، والهند وإثيوبيا.

واستهدفت أحدث الهجمات التي كانت تستغل هشاشة CVE-2013-0633 ناشطين من بلد في الشرق الأوسط. غير أنه رفض ذكر اسم البلد لتفادي فضح المعلومات التي قد تؤدي إلى تحديد هوية الضحايا.

ليس من الواضح ما إذا كانت عملية استغلال يوم الصفر لـ CVE-2013-0633 قد تم بيعها من قِبل HackingTeam مع البرامج الضارة للمراقبة أو إذا كان أي شخص اشترى البرنامج قد حصل على استغلال من مصدر مختلف ، قال راو.

لم يستجب HackingTeam فوراً لطلب التعليق.

في الهجمات السابقة التي كشفتها شركة كاسبرسكي لاب ، تم توزيع DaVinci عبر مآثر لبرنامج Flash Player وقالت شركة "رايو" إن نقاط الضعف التي اكتشفتها شركة أبحاث الفيروسات الفرنسية "فوبين" (Vupen).

يعترف فوبن صراحة ببيع مآثر يوم الصفر ، لكنه يدعي أن زبائنه هم هيئات حكومية ووكالات إنفاذ القانون من دول أعضاء أو شركاء في حلف الناتو ، ANZUS أو المؤسسات الجيوسياسية في ASEAN.

تم تثبيت أداة تثبيت DaVinci على أجهزة الكمبيوتر بواسطة الاستغلال CVE-2013-0633 في المرحلة الأولى من الهجوم تم توقيعه بإصدار شهادة رقمية صالحة d بواسطة GlobalSign إلى فرد يدعى Kamel Abed ، قال Raiu.

لم يستجب GlobalSign على الفور لطلب الحصول على مزيد من المعلومات حول هذه الشهادة وحالتها الحالية.

وهذا يتفق مع هجمات DaVinci السابقة التي وقع فيها القطاعة أيضا رقميا ، كما قال رايو. وقد تم تسجيل الشهادات السابقة المستخدمة للتوقيع على قطارات دافينشي إلى سالفيتور ماكشيريلا واحدة وهي شركة تدعى OPM Security مسجلة في بنما ، على حد قوله.

وفقا لموقعها على شبكة الإنترنت ، يبيع OPM Security منتج يسمى Power Spy مقابل 200 يورو (267 دولار أمريكي). العنوان الرئيسي "التجسس على زوجك ، زوجتك ، أطفالك أو موظفك". قائمة باور سباي تشبه إلى حد بعيد قائمة ميزة دافينشي ، وهو ما يعني أن OPM قد يكون موزعًا لبرنامج مراقبة HackingTeam ، حسبما قال رايو.

هذا ليست الحالة الأولى عندما يتم استخدام البرمجيات الخبيثة في المراقبة القانونية ضد النشطاء والمعارضين في البلدان التي تكون فيها حرية التعبير محدودة.

هناك تقارير سابقة عن FinFisher ، وهي مجموعة أدوات لمراقبة الكمبيوتر طورتها شركة غاما جروب انترناشيونال ومقرها في المملكة المتحدة ، تم استخدامها ضد ناشطون سياسيون في البحرين.

أفاد باحثون من مختبر Citizen Lab في كلية Munk التابعة للشؤون العالمية في جامعة تورنتو ، في أكتوبر / تشرين الأول ، بأن نظام RCS الخاص ببرنامج HackingTeam (DaVinc) (i) تم استخدام برنامج ضد ناشط حقوق الإنسان من دولة الإمارات العربية المتحدة.

هذا النوع من البرنامج هو قنبلة موقوتة بسبب عدم وجود تنظيم والبيع غير المنضبط ، وقال Raiu. وقال إن بعض الدول لديها قيود على تصدير أنظمة التشفير ، والتي من الناحية النظرية تغطي مثل هذه البرامج ، ولكن يمكن تجاوز هذه القيود بسهولة عن طريق بيع البرنامج من خلال تجار التجزئة في الخارج.

المشكلة الكبرى هي أن هذه البرامج لا يمكن استخدامها فقط من قبل الحكومات للتجسس على مواطنيها ، ولكن يمكن أيضا أن تستخدم من قبل الحكومات للتجسس على الحكومات الأخرى أو يمكن استخدامها للتجسس الصناعي والتجاري ، وقال راو.

عند استخدام هذه البرامج لمهاجمة الشركات الكبيرة أو استخدامها من قبل الإرهابيين السيبيين ، الذين سيكونون مسؤولين عن البرامج التي تقع في الأيدي الخطأ ، سألها راو.

من منظور كاسبرسكي لاب ، ليس هناك شك في ذلك: سيتم الكشف عن هذه البرامج كبرامج ضارة بغض النظر عن الغرض المقصود منها ، على حد قوله.