印度某APT组织从美国安全公司购买漏洞用于攻击

安全
卡巴斯基网络安全公司的研究人员,分析了一起针对中国和巴基斯坦政府和电信实体的 Microsoft Windows PC 的网络间谍活动。

[[430230]]

摘要

卡巴斯基在今年早些时候的报告中提到,Bitter APT组织针对中国和巴基斯坦政府和电信实体的网络间谍活动,该活动2020 年 6 月开始,一直持续到 2021 年 4 月。

在该活动中使用的两个0-day漏洞是来自一家名为摩西(Moses)的黑客技术提供商,该公司的幕后身份是位于德克萨斯州奥斯汀的一家名为 Exodus Intelligence 的公司。

该公司的客户之一是印度的Bitter APT组织,该公司向印度提供零日漏洞研究资料,印度将其武器化,并应用在网络间谍攻击当中,Exodus在发现印度非常规使用其技术后,与其切断业务联系。

另外,Exodus公司的零日漏洞资料似乎被印度泄露或滥用,卡巴斯基表示,除了已经披露被利用的两个零日漏洞外,摩西公司制造的至少六个漏洞在过去两年中已经遭到滥用,例如DarkHotel组织就曾利用过摩西的零日漏洞。

其中一个0Day漏洞(CVE-2021-1732)被安恒在在野攻击中捕获。

美国Exodus Intelligence公司的攻击技术遭印度政府滥用

今年早些时候,俄罗斯卡巴斯基网络安全公司的研究人员,分析了一起针对中国和巴基斯坦政府和电信实体的 Microsoft Windows PC 的网络间谍活动。

该活动从 2020 年 6 月开始,一直持续到 2021 年 4 月。引起研究人员注意的是间谍活动中所使用的黑客软件,被Bitter APT组织所使用。其恶意代码在各个方面看起来像之前卡巴斯基防病毒提供商之前报告披露到的一些内容相似,并归因于一家名为“摩西(Moses)”的公司。

卡巴斯基表示,摩西是一个神秘的黑客技术提供商,被称为“零日漏洞利用经纪人”。这些公司在价值 1300 亿美元网络安全行业中运营着一个利益市场,对客户提供一种“漏洞利用”的软件(也可以通过被称为“0-day”(零日)),其允许攻击者入侵未修补漏洞的计算机,这些漏洞就像超级强力的开锁工具。这些技术人员在操作系统或应用程序中寻找漏洞,以方便让黑客或间谍侵入目标。

这些漏洞利用极其罕见,提供单个漏洞可赚取超过 200 万美元的漏洞赏金。而使用这些0-day漏洞的买家则可以保护自己免受相关0-day漏洞的侵害,或者利用该漏洞对他人造成伤害。

例如,在 2020 年针对SolarWinds软件提供商及其许多客户(从美国政府部门到思科和微软等科技巨头)的攻击中,攻击者至少使用了一个0-day漏洞。本次攻击使 SolarWinds公司损失了至少 1800 万美元,如果算上同样受到攻击的 SolarWinds 客户的成本,那么总体数字可能会达到数百亿美元。

有时,美国公司不是受害者,反而是助长数字间谍活动盛行的协助者。据两位了解卡巴斯基研究的消息人士透露,福布斯了解到,摩西公司的身份是位于德克萨斯州奥斯汀的一家名为 Exodus Intelligence 的公司。一位消息人士补充说,摩西的其中一位客户是位于印度的 Bitter APT组织。

Exodus在网络安全和情报领域之外鲜为人知,在过去十年中,Exodus 凭借《时代》杂志的封面故事和执法部门用来破解匿名浏览器 Tor以诱捕针对儿童实施性犯罪的人员的工具而声名鹊起。

它还声称与国防部研究机构 Darpa 以及思科和 Fortinet 等主要科技公司建立了合作伙伴关系,后者是一家价值 26 亿美元(2020 年销售额)的网络安全机构。

Exodus 在被五眼联盟国家(包括美国、英国、加拿大、澳大利亚和新西兰在内的情报共享国家联盟)或其盟友询问时,将提供有关零日漏洞的信息和利用所需的软件。该公司的主要产品是提供零日漏洞的相关信息,供客户进行定制化操作,价格高达每年 250,000 美元。

客户可以利用 Exodus 提供的零日漏洞信息进行任意操作,这些漏洞信息通常涵盖所有流行的操作系统,包括从 Windows 到谷歌的 Android 和苹果的 iOS系统。

37 岁的 Exodus 首席执行官兼联合创始人 Logan Brown 说,印度购买了这种产品,并且很可能已经将其武器化。他告诉福布斯,他认为印度从中精心挑选了一个允许深入访问微软操作系统的Windows 漏洞,并由印度政府人员或承包商将其改编为恶意攻击手段。

Brown说,Exodus公司随后在 4 月份停止印度购买其新的零日漏洞研究,并与微软合作修补漏洞。Brown说,尽管 Exodus 并没有限制客户对其研究结果的使用,但印度对他公司关于零日漏洞的研究使用是出格的,并补充说:“你可以用来攻击别人,但你不能将其作为工具攻击巴基斯坦和中国。”(印度驻伦敦大使馆没有回应置评请求。)

该公司还研究了卡巴斯基归因于摩西的第二个漏洞,这是另一个允许黑客在 Windows 计算机上获得更高权限的漏洞。它与任何特定的间谍活动无关,但Brown证实该漏洞来自他们公司的研究。

Brown 目前也在调查其代码是否被他人泄露或遭到滥用。据卡巴斯基称,除了已经被滥用的两个​​零日漏洞之外,摩西公司制造的至少六个漏洞在过去两年中已经遭到滥用。

根据卡巴斯基的说法,另一个名为 DarkHotel 的黑客团队(一些研究人员认为该组织由韩国赞助)使用了摩西的零日漏洞,尽管韩国不是 Exodus 的客户。Brown 说:“我们很确定印度泄露了我们的一些研究,自那以后我们切断了印度业务,并从那时起就再也没有听到任何消息。”

任何此类零日漏洞泄漏事件都特别令人担忧,该公司试图控制每年大约 50 个零日漏洞,这些漏洞涵盖世界上最流行的操作系统,从 Windows 到 Android 再到 Apple 的 iOS。

Brown并不是唯一一个看到他的研究以他不想看到的方式遭到使用的人。Luca Todesco 是意大利零日漏洞开发者,去年在看到黑客利用iPhone漏洞监视敏感人群(少数人受到威胁)后,他在推特上说“我从我的工作中看到最糟糕的结果”。

在谷歌研究人员详细介绍了遭到iPhone 黑客的攻击活动后,Todesco意识到,这家科技巨头详细介绍的其中一项技术看起来很像他开发并与联系人分享的东西。在 Twitter 上发布的消息中,Todesco 否认他曾出售任何被用于攻击的代码,但他表示已与多个不知名的人公开分享他的发现。

他声称他不知道他的代码如何或为什么被用于攻击敏感人群,他补充说:“如果我知道,我会避免分享。”他将在共同创立的一家新意大利公司 Dataflow Security 中继续开发漏洞利用。

[[430231]]

(Exodus Intelligence 前联合创始人 Aaron Portnoy 现在致力于更多防御性技术。他的上家公司现在正在调查其黑客工具是否泄露)

Exodus的联合创始人 Aaron Portnoy 最担心这种情况发生。Portnoy 花了十年时间开发可以绕过世界上最大的公司(苹果、谷歌、微软)的安全性黑客软件。

当 Portnoy 于 2015 年离开 Exodus 时,他继续为国防巨头Raytheon公司和一家位于圣地亚哥的“electronic warfare”初创公司工作。但是今天,这位 36 岁的自学成才的黑客从黑客从Northwestern大学退学,并开始了自己的网络安全职业生涯,他担心他永远不知道谁可以访问他的代码或他们如何使用这些代码。他现在后悔将他的零日漏洞控制权交给销售人员。

Aaron Portnoy说:“我感觉我被利用了,这就像我是一个被用于更大目的的工具,我缺乏洞察力。现在,Portnoy在马萨诸塞州的Randori网络安全公司工作。

Moussouris 说,Exodus 切断印度的业务是正确的,在防止滥用方面,买家有着更多的责任。Brown说,他在Exodus的黑客技术被曝光后,不得不与另一个客户(法国警察机构)断绝关系,该机构将其黑客技术用来锁定对儿童实施犯罪的人员。

Brown补充说:"任何时候我们的数据被公众接触到,特别是恶意行为者,都是一种违约行为。Brown、Portnoy和另一位Exodus联合创始人曾在零日计划(Zero Day Initiative)工作过,Exodus的顾问和创始人佩德拉姆-阿米尼(Pedram Amini)说,该公司在十年内仅与两个客户切断业务关系的记录令人印象深刻。阿米尼补充说,他对Exodus在审查客户时的流程感到满意。并补充说:“如果公司与沙特人合作,我根本不会进入这家公司。”

[[430232]]

(关于 NSO Group 软件正在世界各地针对活动家、记者和政治家的 iPhone 攻击活动和相关指控,导致人们提高对跨境电话和 PC 监控的认识和警觉)

Brown的公司知道自己的零日软件可以被用于攻击,因此可以选择不向印度政府出售,这个国家在最近被指控滥用以色列NSO集团制造的间谍软件。

今年早些时候,一个名为 "飞马计划 "的报纸和非营利组织联盟声称,反对派印度国大党领导人拉胡尔-甘地及其一些亲信的电话被监视了,导致对总理纳伦德拉·莫迪的政府提出叛国指控。(政府否认发生过任何未经授权使用间谍软件的情况。)

2019年,Facebook旗下的WhatsApp表示,印度记者和活动人士被NSO的iPhone监控软件锁定为目标。多伦多大学蒙克学院公民实验室(Citizen Lab)高级研究员约翰-斯科特-雷尔顿(John Scott-Railton)说:"向印度政府出售可用于攻击性目的的技术,将会陷入一种可能会助长这种滥用的局面发生。" 同样,Todesco可以选择对他的发现保密,而不是与联系人分享。

今年早些时候,微软总裁布拉德-史密斯对全球间谍软件行业所带来的危险发出警告,并点名批评了NSO。他说,行业供应商正在将更多的攻击能力交给民族国家攻击者,并加剧了网络攻击向其他政府的扩散,这些政府有钱但没有资源制造自己的武器。

随着印度出格使用这种技术的情况发现,人们担心美国人正在使事情变得更加糟糕。福布斯今年早些时候披露,总部设在波士顿的风险投资公司Battery曾悄悄帮助NSO的竞争对手Paragon公司。

本月早些时候,司法部披露两家美国公司向阿联酋的一家承包商出售了iPhone黑客软件--每个工具的成本为130万美元,该承包商正在为阿联酋进行间谍活动。

据路透社报道,这些iOS漏洞被用于数百个目标,包括卡塔尔的埃米尔和也门的一名诺贝尔和平奖人权活动家。我们需要了解美国在私人进攻市场中扮演着什么样的角色,斯科特-雷尔顿补充说。

美国政府渴望各种技术以进行黑客攻击。Brown说,在一些案件发生后,联邦调查局联系了Exodus公司,说它希望为家庭摄像头等设备提供更好的 "监控能力"。Brown补充说,由于今年夏天,许多机构工作人员随着科维德事件后的重新开放而返回办公室,因此需求激增,特别是对智能手机监控工具的需求。

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2022-03-31 09:35:36

透明部落恶意软件网络攻击

2013-06-08 17:32:49

2023-12-26 12:09:32

2024-01-09 11:48:21

2022-05-10 11:51:42

APT组织网络攻击

2020-02-05 14:42:41

黑客网络安全APT

2021-09-24 11:05:23

Turla APT网络间谍攻击

2021-10-27 13:10:05

HarvesterAPT恶意软件

2014-06-11 14:47:27

2018-01-11 13:36:08

2012-02-10 09:46:57

2016-07-06 10:17:51

2015-09-17 10:24:18

2014-02-17 09:54:34

2009-12-02 13:04:12

Red Hat Lin

2021-12-27 09:43:32

恶意代码APT攻击

2023-12-27 13:42:51

2023-11-17 11:29:28

2021-10-12 18:57:23

APT组织网络攻击微软

2013-09-29 09:49:14

点赞
收藏

51CTO技术栈公众号