0-day уязвимость в Adobe Flash Player и Remote Control System производства HackingTeam

На прошлой неделе Adobe выпустил патч, закрывающий уязвимость Flash Player, которая эксплуатировалась в ходе целевых атак.

Прежде чем продолжать чтение, рекомендуем вам на минуту прерваться и установить этот патч. Чтобы проверить, стоит ли у вас последняя версия Flash Player, можно воспользоваться оригинальной утилитой от Adobe.

Если вы используете Google Chrome, убедитесь, что у вас стоит версия 24.0.1312.57 m или более поздняя.

Вернемся теперь к CVE-2013-0633 – критической уязвимости, которую обнаружили мы с Александром Поляковым – и незамедлительно сообщили в Adobe о своей находке. Эксплойты для CVE-2013-0633 были обнаружены в ходе мониторинга так называемых «легальных» программ слежения, созданных итальянской компанией HackingTeam. Ниже мы опишем некоторые из атак и то, как эта 0-day уязвимость используется для установки вредоносного ПО от HackingTeam, продаваемого под названием Remote Control System.

HackingTeam и RCS

Ранее мы уже писали о Remote Control System (RCS) и о Hacking Team; на протяжении последних месяцев мы внимательно следили за тем, как RCS (a.k.a. DaVinci) использовался для преследования правозащитников и политических диссидентов в Африке, Южной Америке и на Ближнем Востоке.

О результатах своего расследования мы также рассказали на прошлой неделе на конференции «Лаборатории Касперского» Security Analyst Summit 2013 в докладе «Cyber Cosa Nostra», посвященном связям между HackingTeam и сомнительной организацией, известной как OPM. Статья с подробным изложением полученных нами данных скоро будет опубликована на Securelist.

В ходе расследования мы обнаружили несколько способов установки RCS на компьютеры жертв:

1. Самоподписанный JAR-файл
2. CVE-2012-4167: 0-day эксплойт от VUPEN. См.
http://www.dhses.ny.gov/ocs/advisories/2012/2012-073.cfm. Около 3 месяцев был активен «в дикой среде» до публикации сведений о нем. Используется со следующим командным сервером: hxxps://www.maile-s.com/yarab/stagedocJord
3. CVE-2010-3333: Командный сервер hxxps://ar-24.com/0000000031/veryimportant.doc2 + hxxp://rcs-demo.hackingteam.it/0000000001/exploit.doc2
4. CVE-2012-5054: 0-day эксплойт от VUPEN, см.
http://packetstormsecurity.com/files/116435/Adobe-Flash-Player-Matrix3D-Integer-Overflow-Code-Execution.html. Около 3 месяцев был активен «в дикой среде» до выпуска патча. Используется с командным сервером hxxp://176.58.100.37/0000040037/scandale.doc: hxxp://176.58.100.37/0000040037/scandale.doc
5. CVE-2012-1682: 0-day эксплойт. Обнаружен исследователями из Security Explorations. Около 2 месяцев был активен «в дикой среде» до публикации сведений о нем. hxxp://ar-66.com/installer.jar
6. CVE-2013-0633: 0-day эксплойт, ранее неизвестен

Некоторые из этих векторов атаки были подробно описаны ранее исследователем из Citizen Lab Морганом Марки-Буар (Morgan Marquis-Boire) в связи с RCS и еще одной вредоносной программой, известной как SPY_NET.

Интересно, что два 0-day эксплойта из этого списка, по всей вероятности, были созданы французской компанией VUPEN, специализирующейся на агрессивных методах в сфере IT-безопасности. На этот факт было указано в отчете Citizen Lab. При этом подчеркивалось, что авторам отчета неясно, были ли эксплойты, используемые вместе с вредоносными программами HackingTeam, приобретены у VUPEN или просто созданы в то же время.

CVE-2013-0633

Мы столкнулись с CVE-2013-0633 при анализе ряда целевых атак, в ходе которых на зараженную машину устанавливалась вредоносная программа Backdoor.Win64.Korablin.a – так продукты «Лаборатории Касперского» детектируют пакет DaVinci для Windows, созданный HackingTeam (версия для Mac детектируется как Backdoor.OSX.Morcut). В ходе атак использовались документы Microsoft Word, с помощью которых вредоносное ПО в несколько этапов доставлялось на заражаемый компьютер.

Хотя мы не располагаем конкретными документами, использованными в ходе атак, нам удалось определить несколько серверов, с которых осуществлялись второй и третий этапы атак. Вот список командных серверов, которые использовались для доставки эксплойтов. Адреса были «зашиты» в шел-код, задействованный на втором этапе атаки:

hxxp://li565-84.members.linode.com/0000000097/worddocument.doc3
hxxp://li565-84.members.linode.com/0000000093/worddocument.doc3
hxxp://li565-84.members.linode.com/0000000093/word_document.doc3
hxxp://li565-84.members.linode.com/0000000098/worddocuments.doc3

(Linode-сервер в Японии)

Ранее мы наблюдали атаки, в ходе которых также использовались и другие командные серверы:

Вредоносное ПО, устанавливаемое этими эксплойтами, подписано действительными сертификатами, выданными организациям из разных стран:

Цифровой сертификат, принадлежащий Kamel Abed, которым подписан дроппер RCS

Насколько распространены эти атаки? Вот карта частоты обнаружений Backdoor.Win32/64.Korablin.a:

За время наблюдений мы зафиксировали около 50 инцидентов в Италии, Мексике, Казахстане, Саудовской Аравии, Турции, Аргентине, Алжире, Мали, Иране, Индии и Эфиопии.

Как обычно бывает с таким сомнительным ПО, невозможно точно сказать, кто его использует и в каких целях. Проблема с так называемыми «легальными» шпионскими программами заключается в том, что их может приобрести правительство любого государства, включая и те, в которых нарушаются права человека. Кроме того, одно государство может использовать их против другого.

Связь между HackingTeam и VUPEN

В ходе нашего расследования мы столкнулись по крайней мере с двумя 0-day эксплойтами, создание которых приписывается VUPEN. Оба использовались в атаках вместе с DaVinci/RCS. Остается открытым вопрос, имело ли место одновременное обнаружение уязвимостей и создание соответствующих экплойтов двумя командами, или HackingTeam является одним из клиентов VUPEN. В любом случае похоже на то, что связь между этими двумя компаниями есть: вредоносные программы, созданные HackingTeam, часто устанавливаются с использованием 0-day эксплойтов от VUPEN.

Будущее

После публикации блогпоста Citizen Lab «Из Бахрейна с любовью: набор шпионского ПО от FinFisher», британское правительство подтвердило, что программа FinSpy производства Gamma Group подпадает под существующие ограничения на экспорт криптографических систем.

Хотя такие ограничения существуют в Великобритании, неизвестно, действуют ли подобные правила в отношении компаний, создающих 0-day эксплойты и так называемое «легальное» вредоносное ПО, во Франции и Италии. И даже если они действуют, шпионское ПО легко может быть продано кому угодно через подставные компании, зарегистрированные в других странах – например, в Панаме. Судя по имеющимся данным, жертвами описанных атак становятся активисты, защищающие права человека в странах, где эти права нарушаются. Вполне возможно, что в этих странах использование такого ПО, как FinSpy и RCS, заканчивается арестами и обвинительными приговорами в отношении правозащитников.

Мы полагаем, что индустрия «легального» шпионского ПО – это бомба замедленного действия, которая может взорваться в любой момент. Отсутствие необходимых законодательных ограничений; открытая торговля такими опасными технологиями, приводящая к тому, что их может приобрести практически любой, кто располагает нужной суммой; и наконец, тот факт, что уже не раз было отмечено использование этих технологий в сомнительных целях – все это вызывает только один вопрос: кто будет отвечать, когда в конце концов «рванёт»?

Продукты «Лаборатории Касперского» детектируют бэкдоры RCS/DaVinci как: Backdoor.Win32.Korablin, Backdoor.Win64.Korablin, Backdoor.Multi.Korablin, Rootkit.Win32.Korablin, Rootkit.Win64.Korablin, Rootkit.OSX.Morcut and Trojan.OSX.Morcut.