연구원 : Flash Player를 통해 배포 된 감시 악성 코드 악용

중동의 정치 활동가들은 이전에 알려지지 않은 플래시 플레이어 취약점을 악용 한 공격을 목표로 삼았다. 안티 바이러스 공급 업체 인 카스퍼 스키 랩의 보안 연구원은 화요일 법안 시행을 위해 고안된 합법적 인 차단 프로그램을 발표했습니다. 지난 9 월 Adobe는 Flash Player의 긴급 업데이트를 발표하여 이미 패치 된 두 가지 제로 데이 패치되지 않은 취약점을 해결했습니다. 적극적인 공격에 사용됩니다. 당시 보안 권고에서 Adobe는 CVE-2013-0633이라는 두 가지 취약점 중 하나를보고 한 카스퍼스키랩의 Sergey Golovanov와 Alexander Polyakov에게 감사를 표했습니다.

화요일, 카스퍼 스키 랩 연구원은 추가 정보 그들이 원래 어떻게 취약점을 발견했는지에 관해 Golovanov는 블로그에서 "Cock-2013-0633의 악용 사례는 이탈리아 회사 인 HackingTeam이 만든 소위 '합법적 인 감시'멀웨어를 모니터링하면서 관찰되었습니다."[

] [추가 정보: 맬웨어를 제거하는 방법 귀하의 Windows PC]

HackingTeam은 밀라노에 본사를두고 있지만 아나 폴리스, 메릴랜드 및 싱가포르에도 있습니다. 웹 사이트에 따르면이 회사는 법 집행 기관 및 정보 기관에 판매되는 원격 제어 시스템 (RCS)이라는 컴퓨터 감시 프로그램을 개발하고 있습니다. "

"여기 HackingTeam에서 우리는 범죄와의 싸움은 쉬워야한다고 믿습니다. 카스퍼 스키 랩 (Kaspersky Lab)은 2012 년 8 월부터 다빈치 (DaVinci)라고도 알려진 해킹 팀의 RCS를 모니터링하고 있다고 카스퍼 스키의 카스퍼 스키 (Costin Raiu) 국장은 말했습니다. RCS / DaVinci는 Skype, Yahoo Messenger, Google Talk 및 MSN Messenger를 포함한 다양한 채팅 프로그램의 텍스트 및 오디오 대화를 녹음 할 수 있습니다. 웹 검색 기록을 훔칠 수 있습니다. 컴퓨터의 마이크와 웹캠을 켤 수 있습니다. 카스퍼 스키 연구원은 이탈리아, 멕시코, 카자흐스탄, 사우디 아라비아 등 다양한 국가의 컴퓨터 사용자들에게 다빈치를 사용하는 등 약 50 건의 사건을 발견했다. 터키, 아르헨티나, 알제리, 말리,이란, 인도, 에티오피아 등이있다. CVE-2013-0633 취약성을 이용한 가장 최근의 공격은 중동 국가의 활동가를 대상으로했다. 그러나 그는 희생자가 발견 될 수있는 정보가 노출되는 것을 피하기 위해 해당 국가의 이름을 밝히지 않았습니다.

CVE-2013-0633의 제로 데이 악용 사례가 HackingTeam과 함께 감시 악성 코드와 함께 판매되었는지 여부는 분명하지 않습니다. 카우 퍼스키 랩이 발견 한 이전의 공격에서 다빈치는 플래시 플레이어에 대한 익스플로잇을 통해 배포되었다. (995) 프랑스의 취약성 연구 기관인 Vupen이 발견 한 취약성에 대해 Raiu는 말했다.

Vupen은 공개적으로 제로 데이 익스플로잇을 판매한다고 인정하지만 고객은 NATO의 회원 또는 파트너 인 ANZUS의 정부 및 법 집행 기관이라고 주장한다. 또는 ASEAN 지정 학적 조직과의 협조가 필요합니다.

CVE-2013-0633에 의한 컴퓨터에 설치 한 DaVinci 설치 프로그램은 유효한 디지털 인증서 문제로 공격의 첫 단계에서 악용되었습니다 GlobalSign은 카멜 아베드 (Kamel Abed)라는 개인에게 서명 하였다.

GlobalSign은이 인증서 및 현재 상태에 대한 추가 정보 요청에 즉시 응답하지 않았다.

이는 과거의 다빈치 공격과도 일치하며, 점심을 먹는 사람도 디지털 서명을 받았다고 라이는 말했다. DaVinci droppingers에 서명하는 데 사용 된 이전 인증서는 Salvetore Macchiarella에 등록되었고 OPM Security라는 회사가 파나마에 등록되었습니다.

OPM Security는 웹 사이트에 따르면 Power Spy라는 제품을 200,000 원 (267 달러)에 판매합니다. 귀하의 남편, 아내, 자녀 또는 직원을 감시하는 제목 "Power Spy의 기능 목록은 DaVinci의 기능 목록과 매우 유사합니다. 즉, OPM이 HackingTeam의 감시 프로그램의 재판매 인 일 가능성이 있습니다. Raiu가 말했습니다.

언론의 자유가 제한적인 국가의 활동가 및 반체제 인사들에 대해 합법적 인 감시 맬웨어가 사용 된 첫 사례는 아닙니다.

영국 기반 회사 인 감마 그룹 인터내셔널 (Gamma Group International)이 개발 한 컴퓨터 감시 툴킷 인 FinFisher에 대한 이전 보고서가 토론토 대학 국제 문제 연구소의 Citizen Lab 연구원은 10 월에 HackingTeam의 RCS (DaVinc i) 프로그램이 아랍 에미리트 연합의 인권 활동가를 상대로 사용되었다.이 유형의 프로그램은 규정의 부재와 판매가 통제되지 않아 시한 폭탄이되었다고 Raiu는 말했다. 일부 국가에서는 이론적으로 그러한 프로그램을 다루는 암호화 시스템의 수출에 대한 제한이 있지만, 이러한 제한은 해외 리셀러를 통해 소프트웨어를 판매함으로써 쉽게 우회 될 수 있다고 그는 말했다.

큰 문제는 이러한 프로그램이 정부는 자국민을 감시하기 위해 정부에 의해서만 사용될 수 있지만, 정부가 다른 정부에 대해 스파이 활동을하거나, 산업 및 기업 간첩 행위에 사용될 수 있다고 Raiu는 말했다.

그러한 프로그램이 대기업을 공격하거나 사용될 때 악의적 인 소프트웨어에 책임이있는 사이버 테러리스트가 Raiu에게 질문했다.

카스퍼 스키 랩의 관점에서 볼 때 의심의 여지가 없습니다.이 프로그램은 의도 된 목적에 상관없이 악성 코드로 탐지 될 것입니다.