Microsoft har avslørt at en rekke nylige sikkerhetsoppdateringer ble designet for å stoppe to null-dagers utnyttelser blir solgt som en del av et spionasjeutstyr til autoritære regjeringer og spionbyråer verdensomspennende.
Spionasjekittet, angivelig solgt av det israelske sikkerhetsutstyret Candiru, har blitt brukt til å målrette politikere, journalister, menneskerettighetsarbeidere, akademikere, dissidenter og mer, med minst 100 ofre. Mens 100 er en relativt lav figur til andre store sikkerhetsbrudd eller angrep, er spioneringspakken et svært avansert verktøy som brukes til å målrette mot enkeltpersoner.
Som sådan er ofrene for dette settet og null-dagers utnyttelser sannsynligvis høyprofilerte individer med verdifull informasjon om potensielt seismiske emner.
Microsoft fungerer med Citizen Lab for å fjerne uttak
Den offisielle Microsofts sikkerhetsblogg bekrefter oppdagelsen av en "offensiv aktør i den private sektor" i besittelse av to Windows null-dagers utnyttelse (CVE-2021-31979 og CVE-2021-33771).
Microsoft kalt trusselsaktøren SOURGUM, og bemerket at Microsoft Security-teamet mener det er et israelsk selskap i privat sektor som selger nettverksverktøy til offentlige etater over hele verden. Arbeider med Citizen Lab, University of Toronto's laboratorium for nettverksovervåking og menneskerettigheter, Microsoft mener at malware og utnyttelsessett som brukes av SOURGUM har "rettet mot mer enn 100 ofre rundt om i verden."
I slekt: Forståelse av skadelig programvare: De vanligste typene du bør vite om
Citizen Labs rapporterer om bedriftene eksplisitt navn Candiru, "et hemmelighetsfullt israelsk selskap som selger spyware utelukkende til myndighetene. "Spyware utviklet av Candiru" kan infisere og overvåke iPhones, Androids, Mac, PC og cloud-kontoer. "
Microsoft Security-teamet observerte ofre i Palestina, Israel, Iran, Libanon, Jemen, Spania, United Kongeriket, Tyrkia, Armenia og Singapore, med mange ofre som opererer i sensitive områder, roller eller organisasjoner. Rapporterte Candiru-kunder inkluderer Usbekistan, Saudi-Arabia og De forente arabiske emirater, Singapore og Qatar, med andre rapporterte salg i Europa, tidligere Sovjetunionen, Persiabukta, Asia og Latin-Amerika.
Sikkerhetsoppdateringer eliminerer null-dagers utnyttelse
En null-dagers utnyttelse er et tidligere ikke utgitt sikkerhetsproblem som en angriper bruker for å bryte et nettsted, en tjeneste eller annet. Ettersom sikkerhets- og teknologibedriftene ikke er klar over dets eksistens, forblir det upatchet og sårbart.
I dette tilfellet brukte det israelske selskapet angivelig bak utviklingen av spioneringspakken to null-dagers utnytter for å få tilgang til tidligere sikre produkter, innebygd i en unik malware-variant kalt DevilsTongue.
Mens angrep av denne typen er bekymringsfulle, er de ofte svært målrettede operasjoner som vanligvis ikke påvirker vanlige brukere. Videre har Microsoft nå lappet opp null-dagers utnyttelse brukt av DevilsTongue-skadelig programvare, noe som gjør denne spesielle varianten ubrukelig. Plasterne ble utstedt i juli 2021 Patch Tuesday, som ble presset direkte 6. juli.
PrintNightmare zero-day utnyttes aktivt.
Les Neste
- Sikkerhet
- Tekniske nyheter
- Microsoft
- Bakdør
Gavin er Junior Editor for Windows and Technology Explained, en regelmessig bidragsyter til den virkelig nyttige podcasten, og en vanlig produktanmelder. Han har en BA (Hons) moderne skriving med digital kunstutøvelse plyndret fra åsene i Devon, samt over et tiår med profesjonell skriveerfaring. Han liker store mengder te, brettspill og fotball.
Abonner på vårt nyhetsbrev
Bli med på nyhetsbrevet vårt for tekniske tips, anmeldelser, gratis e-bøker og eksklusive tilbud!
Ett steg til…!
Bekreft e-postadressen din i e-posten vi nettopp sendte deg.