Microsoft закрывает эксплойты нулевого дня, используемые в наборе правительственного шпионажа
Microsoft сообщила, что ряд недавних исправлений безопасности был разработан, чтобы остановить продажу двух эксплойтов нулевого дня как части шпионского комплекта авторитарным правительствам и шпионским агентствам по всему миру.
Шпионский комплект, предположительно проданный израильской службой безопасности Candiru, использовался для нападения на политиков, журналистов, правозащитников, ученых, диссидентов и многих других, в результате чего погибло не менее 100 человек. В то время как 100 – это сравнительно низкий показатель по сравнению с другими серьезными нарушениями безопасности или атаками, шпионский комплект представляет собой высокоразвитый инструмент, используемый для нацеливания на отдельных лиц.
Таким образом, жертвы этого набора и эксплойтов нулевого дня, вероятно, являются известными людьми с ценной информацией по потенциально сейсмическим темам.
Microsoft работает с Citizen Lab над устранением уязвимостей
В официальном блоге Microsoft Security подтверждается обнаружение « злоумышленника из частного сектора», владеющего двумя эксплойтами нулевого дня Windows ( CVE-2021-31979 и CVE-2021-33771 ).
Microsoft назвала злоумышленника SOURGUM, отметив, что команда безопасности Microsoft считает, что это израильская компания частного сектора, продающая инструменты кибербезопасности правительственным учреждениям по всему миру. Работая с Citizen Lab, лабораторией сетевого наблюдения и защиты прав человека при Университете Торонто, Microsoft считает, что вредоносное ПО и набор эксплойтов, используемый SOURGUM, «нацелены на более чем 100 жертв по всему миру».
В отчете Citizen Lab об эксплойтах прямо упоминается Candiru, «секретная израильская компания, которая продает шпионское ПО исключительно правительствам». Шпионское ПО, разработанное Candiru, «может заражать и контролировать iPhone, Android, Mac, ПК и облачные аккаунты».
Группа безопасности Microsoft наблюдала за жертвами в Палестине, Израиле, Иране, Ливане, Йемене, Испании, Великобритании, Турции, Армении и Сингапуре, причем многие жертвы действовали в чувствительных областях, ролях или организациях. Среди зарегистрированных клиентов Candiru – Узбекистан, Саудовская Аравия и ОАЭ, Сингапур и Катар, а также другие зарегистрированные продажи в Европе, странах бывшего Советского Союза, Персидском заливе, Азии и Латинской Америке.
Патчи безопасности исключают эксплойты нулевого дня
Эксплойт нулевого дня – это ранее не раскрытая уязвимость системы безопасности, которую злоумышленник использует для взлома сайта, службы или иным образом. Поскольку охранные и технологические компании не знают о его существовании, он остается незащищенным и уязвимым.
В этом случае израильская компания, якобы стоящая за разработкой шпионского комплекта, использовала два эксплойта нулевого дня для получения доступа к ранее защищенным продуктам, встроенным в уникальный вариант вредоносного ПО под названием DevilsTongue.
Хотя атаки такого рода вызывают беспокойство, они часто являются целенаправленными операциями, которые обычно не затрагивают обычных пользователей. Кроме того, Microsoft теперь исправила эксплойты нулевого дня, используемые вредоносным ПО DevilsTongue, сделав этот конкретный вариант бесполезным. Патчи были выпущены во вторник июля 2021 года, который был опубликован 6 июля.