Dos errores de Windows de día cero corregidos por Microsoft en Patch Tuesday a principios de esta semana fueron armados por la empresa israelí Candiru en una serie de «ataques de precisión» para atacar a más de 100 periodistas, académicos, activistas y disidentes políticos en todo el mundo.

El proveedor de spyware también ha sido identificado formalmente como una empresa de vigilancia comercial revelada por Threat Analysis Group (TAG) de Google que explota varias vulnerabilidades de día cero en Chrome para atacar a las víctimas en Armenia, según un informe publicado por Citizen Lab de Toronto. .

«La aparente presencia de Candira y el uso de su tecnología de vigilancia contra la sociedad civil global es un fuerte recordatorio de que la industria del software espía mercenario es multijugador y propensa a un abuso generalizado», dijeron los investigadores de Citizen Lab. «Este caso muestra una vez más que, en ausencia de garantías internacionales o controles gubernamentales estrictos de exportación, los proveedores de spyware venderán a clientes gubernamentales que abusan de sus servicios de manera rutinaria».

Fundado en 2014 y con el nombre en código «Sourgum» de Microsoft, se dice que el jugador ofensivo del sector privado (PSOA) es el desarrollador de una herramienta de espionaje llamada DevilsTongue, que se vende exclusivamente a los gobiernos y puede infectar y monitorear una amplia gama de dispositivos. . en varias plataformas, incluidos iPhone, Android, Mac, PC y cuentas en la nube.

Citizen Lab dijo que pudo recuperar una copia del software espía de Windows de Candira después de obtener un disco duro de una «víctima políticamente activa en Europa occidental», que luego se invirtió para identificar dos exploits de día cero nunca antes vistos para vulnerabilidades en Windows. rastreados como CVE-2021-31979 y CVE-2021-33771, que se usaron para instalar malware en las cajas de las víctimas.

La cadena de infección se basó en una combinación de exploits y navegadores de Windows, el primero de los cuales se proporcionó a través de URL únicas enviadas a destinos en aplicaciones de mensajería como WhatsApp. El 13 de julio, Microsoft abordó ambas deficiencias en la escalada de privilegios que permiten a un adversario escapar de los entornos limitados del navegador y obtener la ejecución del código del kernel.

La interrupción culminó con la implementación de DevilsTongue, una puerta trasera modular basada en C / C ++ con una serie de funciones, incluido el filtrado de archivos, la exportación de mensajes almacenados en una aplicación Signal cifrada y el robo de cookies y contraseñas de Chrome, Internet Explorer, Firefox . Navegadores Safari y Opera.

El análisis de armas digitales de Microsoft también descubrió que podría explotar las cookies robadas de los correos electrónicos registrados y cuentas de redes sociales, como Facebook, Twitter, Gmail, Yahoo, Mail.ru, Odnoklassniki y Vkontakte, para recopilar información, leer los mensajes de las víctimas, recuperar fotos. e incluso enviar mensajes en su nombre, lo que permite que el actor de amenazas envíe enlaces maliciosos directamente desde la computadora del usuario infectado.

Un informe separado de Citizen Lab también vinculó dos vulnerabilidades de Google Chrome reveladas el miércoles por el gigante de las búsquedas, CVE-2021-21166 y CVE-2021-30551, a Tel Aviv, señalando superposiciones en los sitios web que se utilizaron para distribuir las vulnerabilidades.

Además, se identificaron 764 dominios relacionados con la infraestructura de software espía de Candiru, muchos de los cuales pretendían ser organizaciones de defensa como Amnistía Internacional, Black Lives Matter, así como empresas de medios y otros actores de la sociedad civil. Algunos sistemas bajo su control fueron operados desde Arabia Saudita, Israel, los Emiratos Árabes Unidos, Hungría e Indonesia.

Hasta la fecha, se han identificado más de 100 víctimas del malware SOURGUM, con objetivos en Palestina, Israel, Irán, Líbano, Yemen, España (Cataluña), Reino Unido, Turquía, Armenia y Singapur. «Estos ataques se han dirigido principalmente a cuentas de consumidores, lo que indica que los clientes de Sourgum han estado acosando a personas específicas», dijo Cristin Goodwin, director ejecutivo de la División de Seguridad Digital de Microsoft.

Las últimas noticias llegan en un momento en que los investigadores de TAG, Maddie Stone y Clement Lecigne, han observado un aumento en el número de atacantes que utilizan más exploits de día cero en sus ciberofensivas, apoyados en parte por más proveedores comerciales que venden acceso de día cero que a principios de 2010.

«Los atacantes del sector privado son empresas privadas que fabrican y venden armas cibernéticas en paquetes de piratería como servicio, a menudo a agencias gubernamentales de todo el mundo, para acceder a las computadoras, teléfonos, infraestructura de red y otros dispositivos de sus objetivos». Microsoft Threat Intelligence Center (MSTIC) dijo en una revisión técnica.

«Con estos paquetes de piratas informáticos, las agencias gubernamentales suelen elegir sus objetivos y realizar las operaciones por sí mismas. Las herramientas, tácticas y procedimientos utilizados por estas empresas solo aumentan la complejidad, la escala y la sofisticación de los ataques», agregó MSTIC.