一家以色列公司帮助政府瞄准记者、活动人士和间谍软件

本周早些时候，作为周二更新补丁的一部分，微软修复了两个零日Windows缺陷，其中两个缺陷由总部位于以色列的Candiru公司进行了一系列“精确攻击”，对全球100多名记者、学者、活动人士和政治异见人士进行了黑客攻击。

根据多伦多大学公民实验室发布的一份报告，间谍软件供应商也正式被认定为商业监控公司，谷歌威胁分析小组（TAG）披露了利用Chrome浏览器中的多个零日漏洞来攻击位于亚美尼亚的受害者。

公民实验室的研究人员说：“Candiru明显的广泛存在，以及它对全球公民社会的监视技术的使用，有力地提醒人们，雇佣军间谍软件行业有很多参与者，而且容易被广泛滥用。”。“这起案件再次表明，在没有任何国际保障措施或强有力的政府出口管制的情况下，间谍软件供应商将向经常滥用其服务的政府客户销售。”

成立于2014年的私营部门攻击性演员协会（PSOA）和#8212；微软代号为“Sourgum”—；据说是一个名为DevilsTongue的间谍工具包的开发者，该工具包专门出售给政府，能够跨不同平台感染和监控广泛的设备，包括iPhone、Android、Mac、PC和云账户。

公民实验室（Citizen Lab）表示，在从“西欧政治活跃的受害者”那里获得一个硬盘驱动器后，它能够恢复Candiru的Windows间谍软件的一个副本。该硬盘驱动器随后被反向工程，以识别两个从未见过的Windows零日漏洞，这些漏洞被追踪为CVE-2021-31979和CVE-2021-33771，用于安装受害者盒子上的恶意软件。

The infection chain relied on a mix of browser and Windows exploits, with the former served via single-use URLs sent to targets on messaging applications such as WhatsApp. Microsoft addressed both the privilege escalation flaws, which enable an adversary to escape browser sandboxes and gain kernel code execution, on July 13.

入侵的高潮是部署了DevilTongue，这是一个基于C/C++的模块化后门，配备了许多功能，包括过滤文件、导出加密消息应用程序信号中保存的消息，以及从Chrome、Internet Explorer、Firefox、Safari和Opera浏览器中窃取cookie和密码。

微软对这一数字武器的分析还发现，它可能会滥用从Facebook、Twitter、Gmail、Yahoo和Mail等已登录的电子邮件和社交媒体帐户窃取的cookie。ru、Odnoklassniki和Vkontakte收集信息、阅读受害者的消息、检索照片，甚至代表他们发送消息，从而允许威胁参与者直接从受损用户的计算机发送恶意链接。

此外，公民实验室的报告还将这家搜索巨头周三披露的两个谷歌浏览器漏洞与#8212；CVE-2021-21166和CVE-2021-30551—；向特拉维夫公司表示，注意到用于发布漏洞的网站存在重叠。

此外，还发现了764个与Candiru间谍软件基础设施相关的域名，其中许多域名伪装成倡导组织，如大赦国际、黑人生命问题运动、媒体公司和其他以民间社会为主题的实体。他们控制的一些系统由沙特阿拉伯、以色列、阿联酋、匈牙利和印度尼西亚运营。

迄今为止，已经确认了超过100名SOURGUM恶意软件的受害者，目标位于巴勒斯坦、以色列、伊朗、黎巴嫩、也门、西班牙（加泰罗尼亚）、英国、土耳其、亚美尼亚和新加坡。微软数字安全部门总经理克里斯汀·古德温（Cristin Goodwin）说：“这些攻击主要针对消费者账户，表明Sourgum的客户在追捕特定的个人。”。

最新报告发布之际，TAG研究人员玛迪·斯通（Maddie Stone）和克莱门特·莱西恩（Clement Lecigne）指出，在网络攻击中使用更多零日漏洞的攻击者激增，部分原因是与2010年代初相比，销售零日访问权限的商业供应商更多。

微软威胁情报中心（Microsoft Threat Intelligence Center，MSTIC）在一份技术简报中表示：“私营部门攻击行为人是指制造和销售黑客即服务软件包中的网络武器的私营公司，通常是向世界各地的政府机构提供，以侵入目标的计算机、电话、网络基础设施和其他设备。”。

MSTIC补充道：“有了这些黑客软件包，政府机构通常会选择目标并自行开展实际行动。这些公司使用的工具、战术和程序只会增加攻击的复杂性、规模和复杂性。”。