イスラエルのサイバー兵器企業がスパイウェアを各国政府に売っている?

Israeli Firm Helped Governments Target Journalists, Activists with 0-Days and Spyware

2021/07/16 TheHackerNews — 今週初めの Microsoft Patch Tuesday で修正された、Windows のゼロデイ脆弱性のうち2つは、イスラエルの Candiru により一連の高精度な攻撃に利用され、世界中のジャーナリスト/学者/活動家/政治的反体制派をなど、100人以上の人々がハッキングされた。University of Toronto の Citizen Lab が発表したレポートによると、このスパイウェア・ベンダーは、Chrome ブラウザの複数のゼロデイ脆弱性を悪用してアルメニアの被害者を狙っていたことを、Google の Threat Analysis Group (TAG) が明らかにした、商業監視会社であることが正式に判明した。

Citizen Lab の研究者たちは、Candiru の広がりは明らかであり、グローバルな市民社会に対する監視技術の使用は、傭兵スパイウェア業界に多くのプレイヤーが存在し、広範囲で悪用される傾向が推測される。今回の事件は、国際的なセーフガードや政府の強力な輸出規制がない場合に、こうしたスパイウェア・ベンダーのサービスは、様々な政府や政治組織などで日常的に悪用されることが改めて証明された」と述べている。

2014年に設立された民間攻撃型アクター (PSOA: private-sector offensive actor) は、Microsoft により Sourgum というコード・ネームを付けられている。この PSOA は、各国の政府に対してのみ販売される、DevilsTongue と呼ばれるスパイ・ツールキットの開発者であり、iPhone / Android / Mac / PC などのデバイスや、クラウドなどのプラットフォームへの感染/監視を可能にすると言われている。

Citizen Lab によると、西ヨーロッパで政治的活動を行っている被害者から、ハードディスクを入手することで、Candiru の Windows スパイウェアのコピーを再現できたという。続いて、リバース・エンジニアリングすることで、新種の Windows ゼロデイ・エクスプロイト CVE-2021-31979 / CVE-2021-33771 を特定し、被害者のボックスにマルウェアをインストールするために悪用されていることが分かった。感染経路は、ブラウザと Windows のエクスプロイトを組み合わせに依存しており、前者は WhatsApp などのターゲットに送信される、単一の URL を介して提供されていた。

7月13日に Microsoft は、ブラウザのサンドボックスを回避して、カーネルコードの実行を可能にする、2つの特権昇格の欠陥に対応した。一連の侵入は、数多くの機能を備えた、C/C ++ ベースのバックドア・モジュールである DevilsTongue の展開で最高潮に達する。具体的には、暗号化されたメッセージング・アプリ Signal に保存されたファイルとメッセージのエクスポート、そして、Chrome / Internet Explorer / Firefox / Safari / Opera などのブラウザからのクッキー/パスワードの盗用が行われる。

また、このデジタル兵器は、Facebook / Twitter / Gmail / Yahoo / Mail.ru / Odnoklassniki / Vkontakte などの SNS や 電子メールにログインした際に取得するクッキーを悪用し、各種情報の収集や、被害者のメッセージと写真の取得、さらには、被害者に成りすましたメッセージ送信も可能となる。したがって、脅威アクターは、感染したユーザーのコンピュータからダイレクトに、悪意のリンクを送信することができる。

これとは別に、Citizen Lab のレポートが指摘するのは、水曜日に公開された Google Chrome の2つの脆弱性 CVE-2021-21166 / CVE-2021-30551 と、テルアビブの企業との関連性が明らかになり、エクスプロイトの配布に使用された Web サイトが重複していることだ。さらに、Candiru のスパイウェアのインフラにリンクしている、偽装されている 764 個のドメインが発見され、その多くは Amnesty International や Black Lives Matter などの団体や、市民社会をテーマにした団体、メディア企業などを装っていた。

それらのシステムには、サウジアラビア / イスラエル / U.A.E / ハンガリー / インドネシアなど運用されているものもあった。これまでに、パレスチナ / イスラエル / イラン / レバノン / イエメン / スペイン / イギリス / トルコ / アルメニア / シンガポールなどで、100人以上の被害者が確認されている。Microsoft の General Manager of Digital Security Unit である Cristin Goodwin は、「これらの攻撃は、主にコンシューマ・アカウントを標的としており、Sourgum の顧客が特定の個人を狙っていたことを示している」と述べている。この最新レポートは、Google TAG の研究者である Maddie Stone と Clement Lecigne によるものであり、サイバー攻撃で多くのゼロデイ・エクスプロイトが使用されるようになったことを指摘している。

この記事は、以下の Microsoft Threat Intelligence Center (MSTIC) のコメントを紹介しています。この種の世界では、民間とは異なるレベルの予算が投じられ、精巧かつ巧妙なトラップが仕掛けられていくのでしょう。

「民間の攻撃アクターとは、サイバー兵器を製造し、Hacking-as-a-Service パッケージとして販売する民間企業のことであり、多くの場合において、世界中の政府機関が顧客であり、コンピュータ/電話/ネットワークインフラなどのデバイスに対してハッキングを行っている。このようなハッキング・パッケージ運用では、政府機関がターゲットを選び出し、自ら操作するのが一般である。これらの企業が提供する TTP (Tactics / Techniques / Procedures) を用いることで、攻撃の複雑さと、規模と、巧妙さは、増大の一途をたどるだけだ」

%d bloggers like this: