کمک شرکت اسرائیلی به دولت ها بوسیله جاسوس افزار و آسیب پذیری روز صفر برای هدف قرار دادن روزنامه نگاران و فعالان

اخبار داغ فناوری اطلاعات و امنیت شبکه

 takian.ir israeli firm helped governments target journalists activists with 0 days and spyware

دو مورد از ایرادهای روز صفر ویندوز که مایکروسافت به عنوان بخشی از بروزرسانی Patch Tuesday اوایل این هفته پچ کرده است، توسط یک شرکت اسرائیلی به نام Candiru در یک سری حملات دقیق برای هک کردن بیش از 100 روزنامه نگار، اعضای دانشگاهی، فعالان و مخالفان سیاسی در سطح جهانی به کار گرفته شده است.

بر اساس گزارشی که توسط سیتیزن لب دانشگاه تورنتو منتشر شده است، تامین کننده جاسوس افزار همچنین به طور رسمی به عنوان شرکت نظارت تجاری شناخته شد که گروه تجزیه و تحلیل تهدیدات گوگل (TAG) از آن به عنوان سواستفاده کننده از چندین آسیب پذیری روز صفر در مرورگر کروم برای هدف قرار دادن قربانیان شهروند ارمنستان نام برد.

به نقل از هکرنیوز، محققان سیتیزن لب گفتند: "حضور گسترده و آشکار Candiru و استفاده از فناوری نظارت آن بر علیه جامعه مدنی جهانی به خوبی یادآور ای نکته است که صنعت جاسوسی مزدوران، عاملان زیادی را در خود جای داده و مستعد سواستفاده گسترده است. این مورد باز هم نشان می دهد که در صورت عدم وجود هیچ گونه ضمانت بین المللی یا کنترل شدید صادرات توسط دولت ها، تامین کنندگان جاسوس افزار اقدام به فروش این خدمات جاسوس افزاری به مشتریان دولتی میکنند، در حالی آنها که به طور روزمره از خدماتی که ارائه میدهند، جهت سواستفاده بهره برداری می نمایند.".

گفته می شود که private-sector offensive actor (PSOA)، موسوم به "Sourgum" که توسط مایکروسافت در سال 2014 کشف شد، توسعه دهنده یک بسته ابزاری جاسوسی به نام DevilsTongue است که منحصرا به دولت ها فروخته می شود و قادر به آلوده سازی و نظارت بر طیف وسیعی از دستگاه ها است و پلتفرم های مختلف، از جمله آندروید، آیفون، مَک، رایانه های شخصی و حساب های ابری را در بر میگیرد.

موسسه Citizen Lab اعلام کرد که پس از به دست آوردن یک هارد دیسک از "یک قربانی فعال سیاسی در اروپای غربی"، توانست نسخه ای از نرم افزارهای جاسوسی ویندوز Candiru را بازیابی کند، سپس با استفاده از مهندسی معکوس برای شناسایی دو سواستفاده روز صفر ویندوز و آسیب پذیری های آن اقدام نماید. این آسیب پذیری ها که به عنوان CVE-2021-31979 و CVE-2021-33771 شناسایی شده اند، برای نصب بدافزار در سیستم قربانیان استفاده شده اند.

زنجیره آلودگی به ترکیبی از نقایص مرورگر و ویندوز متکی میباشد، که اولین موارد آن از طریق URL های یکبار مصرف ارسال شده و به اهدافی مانند برنامه های پیام رسان چون WhatsApp ارسال گردیده است. مایکروسافت در 13 جولای هر دو نقص افزایش اختیار را که باعث میشدند که مهاجم بتواند از سندباکس های مرورگر عبور کند و کد کرنل را بدست آورد، رفع کرده است.

این حملات با استقرار DevilsTongue، یک بک دُر مبتنی بر C/C++ ماژولار مجهز به چندین قابلیت از جمله مسدود کردن فایل ها، استخراج پیام های ذخیره شده در برنامه پیامرسان رمزگذاری شده Signal و سرقت کوکی ها و رمزهای عبور از مرورگرهای Chrome ،Internet Explorer ،Firefox ،Safari و Opera به اوج خود رسید.

تجزیه و تحلیل مایکروسافت از این سلاح دیجیتال همچنین نشان داد که این کوکی ها می توانند از کوکی های به سرقت رفته از طریق ایمیل وارد شده و حساب های رسانه های اجتماعی مانند Facebook ،Twitter ،Gmail ،Yahoo ،Mail.ru ،Odnoklassniki و Vkontakte برای جمع آوری اطلاعات، خواندن پیام های قربانی اقدام کرده، عکس ها را بازیابی کنند و حتی از طرف قربانیان پیام ارسال کنند، و به طبع آن به عامل تهدید اجازه می دهد لینک های مخرب را مستقیماً از رایانه کاربر آسیب دیده ارسال کند.

گزارش Citizen Lab به طور مجزا نیز دو آسیب پذیری گوکل کروم را که روز چهارشنبه توسط این غول جستجو فاش شده بود (CVE-2021-21166 و CVE-2021-30551)، با اشاره به هم پوشانی موجود در وبسایت های استفاده شده برای توزیع این بهره برداری، در پیوند با این شرکت اسرائیلی دانسته است.

علاوه بر این، 764 دامنه مرتبط با زیرساخت نرم افزارهای جاسوسی Candiru کشف شده است و بسیاری از دامنه ها به عنوان سازمان های انسان دوستانه مانند عفو بین الملل، جنبش Black Lives Matter و همچنین شرکت های رسانه ای و سایر نهادهای جامعه مدنی مطرح شده اند. برخی از سیستم های تحت کنترل آنها از عربستان سعودی، اسرائیل، آمریكا، مجارستان و اندونزی اداره می شدند.

بیش از 100 قربانی بدافزار Sourgum تاکنون شناسایی شده است و اهداف در فلسطین، اسرائیل، ایران، لبنان، یمن، اسپانیا (کاتالونیا)، انگلستان، ترکیه، ارمنستان و سنگاپور قرار داشته اند. مدیر کل واحد امنیت دیجیتال مایکروسافت، کریستین گودوین بیان داشت: "این حملات عمدتا حساب های مصرف کننده را هدف قرار داده است که نشان می دهد مشتریان Sourgum، افراد خاصی را تعقیب می کرده اند.".

برچسب ها: Black Lives Matter, Signal, Internet Explorer, Citizen Lab, DevilsTongue, Sourgum, private-sector offensive actor, PSOA, TAG, Candiru, Opera, Facebook, کروم, Safari, cybersecurity, Microsoft, فایرفاکس, جیمیل, Firefox, واتس اپ, فیسبوک, Gmail , Vulnerability, توییتر, Chrome, Twitter, WhatsApp, مایکروسافت, گوگل, امنیت سایبری, آسیب پذیری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ