Специалисты компаний Microsoft и Citizen Lab рассказали о спайвари DevilsEye, которая была разработана израильской компанией Candiru, а затем продавалась правительствам разных стран. DevilsEye обнаружили в системах как минимум 100 высокопоставленных целей, а для их заражения использовались 0-day уязвимости в браузерах и Windows.
Исследователи заявляют, что израильская компания Candiru стоит за разработкой как минимум двух эксплоитов для уязвимостей нулевого дня в Windows, которые использовались для атак и развертывания ранее неизвестной шпионской программы DevilsEye. От этой малвари пострадали политики, правозащитники, активисты, журналисты, ученые, посольства и политические диссиденты в различных странах мира.
Известно, что компания Candiru (в Microsoft ее называют кодовым именем Sourgum) была основана в 2014 году. И хотя ее вакансии давно позволяли понять, что компания занимается вопросами кибербезопасности, ранее о деятельности Candiru почти ничего не знали. Теперь, благодаря отчетам Microsoft и Citizen Lab, стало ясно, что инструменты компании помогают ее клиентам заражать и перехватывать контроль над iPhone, Android, Mac, ПК и облачными аккаунтами. «Candiru — секретная израильская компания, которая продает шпионское ПО исключительно правительствам», — говорят в Citizen Lab.
Впервые эта спайварь была замечена исследователями Citizen Lab, когда те занимались киберкриминалистической экспертизой устройства, принадлежащего неназванному «политическому активисту из Западной Европы». Поделившись своими выводами с Microsoft, исследователи смогли обнаружить не менее 100 других жертв DevilsEye в таких странах, как Палестина, Израиль, Иран, Ливан, Йемен, Испания, Великобритания, Турция, Армения и Сингапур.
Эксперты Microsoft пишут, что DevilsEye распространялась путем заманивания жертв на вредоносные сайты, где размещался эксплоит-кит, который злоупотреблял различными уязвимостями в браузерах для установки малвари на устройства жертв. Впоследствии, на втором этапе атаки, использовался эксплоит для Windows, чтобы взломщики могли повысить свои привилегии до уровня администратора.
Исследователи подчеркивают, что цепочка атак была сложной и использовала неизвестные до недавнего времени уязвимости нулевого дня: в браузере Chrome (CVE-2021-21166 и CVE-2021-30551), в Internet Explorer (CVE-2021-33742), и еще две в Windows (CVE-2021-31979 и CVE-2021-33771). В настоящее время все эти проблемы уже исправлены производителями.
Первые три уязвимости уже упоминались в недавнем отчете компании Google, в котором специалисты тоже связывали атаки на уязвимости в Chrome и IE с неназванной «коммерческой компанией, разрабатывающей средства для наблюдения». В Google заявляли, что эти баги были проданы по крайней мере двум группам «правительственных хакеров», которые использовали их для атак на цели в Армении. Теперь Google обновила свой отчет и тоже связывает эксплуатацию этих проблем с израильской Candiru.
DevilsTongue позволяет своим операторам похищать файлы жертв, расшифровывать и красть сообщения из Signal на устройствах Windows, а также воровать файлы cookie и сохраненные пароли из браузеров Chrome, Internet Explorer, Firefox, Safari и Opera. Также DevilsTongue может использовать файлы cookie, хранящиеся на компьютере жертвы, для таких сайтов, как Facebook, Twitter, Gmail, Yahoo, Mail.ru, "Одноклассники" и "Вконтакте", чтобы собирать конфиденциальную информацию, читать сообщения и извлекать фотографии. На некоторых из перечисленных сайтов спайварь даже может отправлять сообщения от лица жертвы другим людям.
Аналитики Citizen Lab говорят, что возможности Candiru в области взлома по найму намного превосходят все предположения экспертов Google и Microsoft. По данным Citizen Lab, уже было обнаружено более 750 доменов, на которых размещалась спайварь Candiru, включая крупные кластеры в ОАЭ и Саудовской Аравии, что позволяет предположить, что эти две страны являются одними из самых крупных клиентов компании.
Некоторые из этих доменов маскировались под правозащитные организации, такие как Amnesty International, движение Black Lives Matter, а также медиа-компании, из-за чего эксперты делают вывод, что атаки в основном были направлены против активистов.
Кристин Гудвин, глава подразделения цифровой безопасности Microsoft, пишет, что такие компании, как Candiru, годами поставляют кибероружие злоумышленникам, а правительства многих стран используют эти хакерские инструменты против членов гражданского общества, не для отслеживания преступников. Гудвин призывает бороться с такими компаниями, чьи продукты активно применяются для нарушения прав человека.
«Мир, в котором компании из частного сектора производят и продают кибероружие, становится более опасен для потребителей, предприятий любого размера и даже правительств», — пишет Гудвин.