Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Luka 0-day w Adobe Flash Player i produkt RCS zespołu HackingTeam

Siergiej Golowanow
Kaspersky Lab Expert
Dodany 28 lutego 2013, 11:03 CET
Tagi:

W zeszłym tygodniu firma Adobe opublikowała łatę na lukę w aplikacji Flash Player. Luka ta była aktywnie wykorzystywana w atakach ukierunkowanych.

 

Zanim czytelnik zacznie dalej czytać niniejszy artykuł, zalecamy poświęcić chwilę i upewnić się, że najnowsza poprawka została zainstalowana na komputerze. Firma Adobe oferuje sprytne narzędzie do sprawdzenia, czy użytkownik posiada najnowszą wersję Flash Playera. Jeżeli w systemie zainstalowana jest przeglądarka internetowa Google Chrome, należy upewnić się, że jej wersja to „24.0.1312.57 m” lub nowsza.

Wróćmy do CVE-2013-0633, krytycznej luki, która została odkryta i zgłoszona do Adobe przez ekspertów z Kaspersky Lab – Siergieja Golowanowa i Aleksandra Poljakowa. Exploity dla luki CVE-2013-0633 zostały zaobserwowane podczas monitorowania tak zwanego „legalnego” oprogramowania nadzorującego, stworzonego przez włoską „firmę” HackingTeam. W prezentowanym artykule opiszemy niektóre ataki i użycie wspomnianej luki 0-day do wdrażania szkodliwego oprogramowania „firmowanego” przez HackingTeam i reklamowanego jako Remote Control System (RCS).

HackingTeam i produkt RCS

Kilka miesięcy wcześniej pisaliśmy już o RCS i zespole HackingTeam, a także dokładnie monitorowaliśmy wykorzystanie RCS (znanego również jako „DaVinci”) przeciwko obrońcom praw człowieka i dysydentom politycznym z Afryki, Ameryki Południowej i Bliskiego Wschodu. Wnioski z tego badania zaprezentowaliśmy także na zeszłotygodniowej konferencji analityków bezpieczeństwa Kaspersky Lab (SAS 2013) w prezentacji zatytułowanej „Cyber Cosa Nostra”, w której ujawniliśmy powiązania grupy HackingTeam z podejrzaną organizacją znaną jako „OPM”. Artykuł dokumentujący nasze ustalenia zostanie opublikowany jeszcze w tym miesiącu.

Podczas naszych badań odkryliśmy kilka sposobów, poprzez które złośliwe oprogramowanie RCS jest instalowane na komputerach ofiar:

1. Podpisany plik JAR
2. CVE-2012-4167: exploit 0-day stworzony przez grupę Vupen: http://www.dhses.ny.gov/ocs/advisories/2012/2012-073.cfm, wypuszczony „na wolność” na około 3 miesiące przed ujawnieniem luki, korzystający z centrum kontroli hxxps://www.maile-s.com/yarab/stagedocJord; 
3. CVE-2010-3333: centrum kontroli pod adresem hxxps://ar-24.com/0000000031/veryimportant.doc2 + hxxp://rcs-demo.hackingteam.it/0000000001/exploit.doc2 
; 4. CVE-2012-5054: exploit 0-day stworzony przez grupę Vupen: http://packetstormsecurity.com/files/116435/Adobe-Flash-Player-Matrix3D-Integer-Overflow-Code-Execution.html, wypuszczony „na wolność” na około 3 miesiące przed opublikowaniem łaty na lukę, korzystający z centrum kontroli hxxp://176.58.100.37/0000040037/scandale.doc; 
5. CVE-2012-1682: exploit 0-day wypuszczony „na wolność” około 2 miesiące przed ujawnieniem natywnej luki. Centrum kontroli pod adresem hxxp://ar-66.com/installer.jar; 
6. CVE-2013-0633: luka 0-day, pierwotnie nieznana.

Kilka z tych wektorów infekcji zostało już szczegółowo omówionych przez Morgana Marquis-Boire'a, badacza z laboratorium Citizen Lab, w odniesieniu do „produktu” RCS i innego złośliwego oprogramowania, znanego jako „SPY_NET”. Co ciekawe, dwa exploity 0-day z powyższej listy zostały stworzone przez firmę Vupen – francuskiego producenta ofensywnego oprogramowania bezpieczeństwa. To powiązanie zostało również wyszczególnione w poprzednim raporcie Citizen Lab, który mówi, że nie jest jasne, czy exploity wykorzystywane przez złośliwe oprogramowanie HackingTeam zostały zakupione od firmy Vupen, czy były projektowane równolegle.

CVE-2013-0633

Na lukę CVE-2013-0633 natknęliśmy się podczas analizy ataków ukierunkowanych, które wdrażały szkodnikaBackdoor.Win64.Korablin.a, co w nomenklaturze Kaspersky Lab oznacza nazwę dla windowsowego pakietu „DaVinci” grupy HackingTeam (wersja dla komputerów Mac nazywa się Backdoor.OSX.Morcut). Ataki wykorzystywały dokumenty edytora tekstu Word, które były używane podczas wielu etapów dostarczania szkodliwego oprogramowania do systemu docelowego. Chociaż nie posiadamy oryginalnych dokumentów wykorzystywanych w atakach, zdołaliśmy zidentyfikować kilka lokalizacji, z których prowadzony był drugi i trzeci etap ataku. Poniżej znajduje się lista serwerów kontroli, które rozsyłały exploity umieszczone w kodzie powłoki i wykorzystywane w drugim etapie ataku:

hxxp://li565-84.members.linode.com/0000000097/worddocument.doc3
hxxp://li565-84.members.linode.com/0000000093/worddocument.doc3
hxxp://li565-84.members.linode.com/0000000093/word_document.doc3
hxxp://li565-84.members.linode.com/0000000098/worddocuments.doc3

Wcześniej widzieliśmy ataki z użyciem innych serwerów kontroli:

76.162.33.13/stagedocsis
www.wiki-islam.info/new/stagedocbn
ww.faddeha.com/palestine27/stagedocpal
wiki-arab.com/index/stagedocwinword
close[OCENZUROWANO].com/7-2012/stage2 (serwer jest wciąż aktywny)
192.168.100.100/0000000788/info.doc2
173.255.215.193/napoli/napoli/stage2

Złośliwe oprogramowanie, które jest instalowane przez te exploity, podpisane jest ważnymi certyfikatami różnych podmiotów na całym świecie:

 

 
Cyfrowy certyfikat należący do „Kamel Abed”, używany do podpisywania droppera złośliwego oprogramowania RCS

 

Jak powszechne są te ataki? Oto rozkład detekcji szkodnika Backdoor.Win32/64.Korablin.a:

 

 
Mapa detekcji złośliwego oprogramowania Backdoor.Win32/64.Korablin.a

 

Podczas okresu monitorowania zaobserwowaliśmy około 50 incydentów w krajach, takich jak: Włochy, Meksyk, Kazachstan, Arabia Saudyjska, Turcja, Argentyna, Algieria, Mali, Iran, Indie i Etiopia. Jak to zwykle bywa z tak wątpliwym oprogramowaniem – nie da się powiedzieć, kto go używa i w jakim celu. Problem z tak zwanymi „legalnymi” narzędziami szpiegowskimi jest taki, że mogą być one kupowane przez rządy państw, w tym rządy państw, w których przestrzeganie praw człowieka stoi pod znakiem zapytania. W dodatku, jeden rząd może zakupić te narzędzia i użyć ich przeciwko obywatelom innego kraju.

Powiązania pomiędzy grupami HackingTeam i Vupen

W trakcie naszego badania, zaobserwowaliśmy co najmniej dwa exploity 0-day, które zostały stworzone przez firmę Vupen i użyte w atakach DaVinci / RCS. Nie wiemy, czy exploity zostały odkryte i stworzone równolegle przez oba zespoły, czy może HackingTeam jest po prostu jednym z klientów grupy Vupen. Niemniej jednak, wydaje się, że istnieje związek między obiema firmami, w tym sensie, że złośliwe oprogramowanie napisane przez HackingTeam jest powszechnie wdrażane przez exploity 0-day, za które odpowiedzialna jest grupa Vupen.

Przyszłość

Po opublikowaniu na blogu Citizen Lab artykułu From Bahrain with Love: FinFisher’s Spykit Exposedbrytyjskie władze potwierdziły, że istnieją regulacje ograniczające eksport systemów kryptograficznych, zastosowanych w produkcie FinSpy zespołu Gamma Group.

Mimo że takie ograniczenia istnieją na terytorium Wielkiej Brytanii, obecnie dostępnych jest niewiele lub brak jest jakichkolwiek informacji w sprawie przepisów we Francji lub we Włoszech, dotyczących działalności firm, które tworzą exploity 0-day i tak zwane „legalne” maleware. Nawet jeśli takie przepisy istnieją, oprogramowanie typu „spyware” może być łatwo sprzedawane każdemu za pośrednictwem spółek patronackich w innych krajach, takich jak Panama. Na podstawie istniejących dowodów, ofiarami takich ataków są obrońcy praw człowieka w krajach, w których prawa człowieka są zaniedbywane. Możliwe jest, że narzędzia typu FinSpy lub RCS doprowadzą do aresztowania i skazania aktywistów w takich krajach.

Wierzymy, że „legalny przemysł szpiegowski” jest odpowiednikiem tykającej bomby, która może wybuchnąć w każdej chwili. Brak regulacji prawnych, powszechny handel niebezpiecznymi technologiami i ich sprzedaż prawie każdemu podmiotowi, który ma pieniądze oraz fakt, że te wątpliwe technologie już zostały użyte w wielu przypadkach stawia ważne pytanie o to, kto będzie odpowiedzialny, gdy bomba w końcu wybuchnie?

Produkty Kaspersky Lab wykrywają backdoory RCS / DaVinci jako: Backdoor.Win32.KorablinBackdoor.Win64.Korablin,Backdoor.Multi.KorablinRootkit.Win32.KorablinRootkit.Win64.KorablinRootkit.OSX.Morcut i Trojan.OSX.Morcut.