DevilsTongue Spionagesoftware der israelischen Firma Candiru nutzte Windows-Schwachstellen

Sicherheit (Pexels, allgemeine Nutzung)[English]Nachdem ich gerade über Spionage-Trojaner der israelischen NSO Group auf Smartphones berichtete (siehe Pegasus-Spionagesoftware der NSO-Group auf vielen Smartphones), kann ich auch den zweiten Fall offen legen. Die israelischen Firma Candiru hat Schwachstellen in Windows ausgenutzt, um ihre DevilsTongue genannte Spionagesoftware auf installieren. Die Schwachstellen sind inzwischen aber behoben.


Anzeige

Microsoft hat bereits am 15. Juli 2021 diesen Sachverhalt im Blog-Beitrag Protecting customers from a private-sector offensive actor using 0-day exploits and DevilsTongue malware öffentlich gemacht. Das Microsoft Threat Intelligence Center (MSTIC) hat zusammen mit dem Microsoft Security Response Center (MSRC) einen privaten offensiven Akteur (Private Sector Offensive Actor, PSOA) entdeckt, den Microsoft als SOURGUM bezeichnet. Dieser Akteur hatte Kenntnis der jetzt gepatchten Windows 0-Day-Exploits (CVE-2021-31979 und CVE-2021-33771).

Die Sicherheitsforscher von Citizen Lab nehmen in diesem Blog-Beitrag kein Blatt vor den Mund und nennen die israelische Firma Candidru als Urheber. Das abseits der Öffentlichkeit agierende Unternehmen Candiru erstellt Hacking-Tools, die zum Einbruch in Computer und Server verwendet werden.

Die Sicherheitsforscher von Citizen Lab identifizierten ein politisch aktives Opfer in Westeuropa und konnten eine Kopie der Windows-Spyware von Candiru sicherstellen. Mithilfe von Internet-Scans haben die Sicherheitsforscher mehr als 750 Websites identifiziert, die mit der Spyware-Infrastruktur von Candiru verbunden sind. Die Forscher fanden viele Domains, die sich als Interessenvertretungsorganisationen von NGOs wie Amnesty International, die Black Lives Matter-Bewegung sowie als Medienunternehmen und andere zivilgesellschaftliche Organisationen ausgaben, aber die Candiru-Spähsoftware auslieferten.

Offenbar sollten politisch Aktive durch die Candiru-Spähsoftware ausgekundschaftet werden, schließen die Sicherheitsforscher aus den gefundenen Webseiten. Ein geleaketer Candiru-Projektvorschlag, der von TheMarker veröffentlicht wurde, zeigt, dass die Spyware von Candiru über eine Reihe verschiedener Vektoren installiert werden kann, darunter bösartige Links, Man-in-the-Middle-Angriffe und physische Angriffe.  Es wird auch ein Vektor namens "Sherlock" angeboten, der angeblich unter Windows, iOS und Android funktioniert. Dabei handelt es sich möglicherweise um einen browserbasierten Zero-Click-Vektor für Angriffe.


Anzeige

Details zur Spyware

Die Spyware von Candiru wurde über COM-Hijacking des nachfolgend genannten Registrierungsschlüssels persistent in Windows installiert:

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32

Normalerweise verweist der Wert dieses Registrierungsschlüssels auf die  Datei wmiutils.dll (gehört zu "Windows Management Instrumentation"). Auf dem infizierten Computer wurde der Eintrag so geändert, dass er auf eine bösartige DLL-Datei verweist, die im Windows-Systemordner abgelegt wurde. Der Ordner ist mit der japanischen Eingabemethode (IMEJP)

C:\WINDOWS\system32\IMEJP\IMJPUEXP.DLL

verbunden. Dieser Ordner ist harmlos und in einer Standardinstallation von Windows 10 enthalten, aber IMJPUEXP.DLL ist nicht der Name einer legitimen Windows-Komponente.

Beim Windows-Start wird automatisch der Windows Management Instrumentation-Dienst geladen, der den DLL-Pfad im Registrierungsschlüssel nachschlägt und dann die DLL aufruft. Damit ist die Spyware wirksam. Microsoft und Citizen Lab haben bei der Analyse zusammen gearbeitet, wie man hier nachlesen kann. Es wurden weltweit mehr als 100 Opfer dieser Spyware gefunden, darunter Politiker, Menschenrechtsaktivisten, Journalisten, Akademiker, Botschaftsmitarbeiter und politische Dissidenten. Um diese Angriffe einzudämmen, hat Microsoft Schutzmechanismen gegen diese einzigartige DevilsTongue-Spyware entwickelt und in seine Produkte integriert. Auch die anderen Antiviren-Hersteller dürften die Malware inzwischen erkennen. Zudem wurde Windows durch ein Software-Update vor den verwendeten Exploits geschützt.

Citizen Lab breitet in diesem Artikel die Details zur Spyware aus, die wohl nicht direkt von Candiru eingesetzt, sondern nur an diverse Kunden verkauft wurde. Diese haben dann die Software verwendet, um die oben genannten Opfer zu infizieren. Der Fall zeigt, gemeinsam mit dem Fall der Pegasus-Spionagesoftware, dass die Dinge längst aus dem Ruder gelaufen sind.

Alles abschalten

Im Moment kann man eigentlich nur noch das Zeug abschalten, denn zwischen Angriffen von staatlichen Hackergruppen zur Spionage, Ransomware-Angriffen von privaten Gangs und den von Staaten angewandten Spionage- und Überwachungstools bleibt wenig Raum, um unbehelligt zu bleiben. Und die "ich habe nichts zu verbergen"-Fraktion exponiert sich dann noch freiwillig in sozialen Medien.

Gerade hat Facebook bekannt gegeben, dass man Maßnahmen gegen eine iranische Hackergruppe unternommen habe. Diese hatte versucht, Militärangehörige über Facebook mittels Social-Engineering in die Falle zu locken. Die Stasi hätte feuchte Augen bekommen, wenn bis 1989 solche Mittel zur Verfügung gestanden hätten.

Tweet Unique IDs linked to Phones

Und im Hinblick auf "wir werten anonymisierte Benutzerdaten aus", die über Webseiten oder soziale Netzwerke über die Geräte des Surfers erfasst werden, ist mir gerade obiger Tweet unter die Augen gekommen. Vice wirft in diesem Artikel einen Blick auf eine Phalanx aus Firmen, die sich darauf spezialisiert haben, aus genau diesen anonymisierte Benutzerdaten die Identitäten der Menschen wieder zu ermitteln.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu DevilsTongue Spionagesoftware der israelischen Firma Candiru nutzte Windows-Schwachstellen

  1. Stephan sagt:

    Hier muß man mal sagen, das betrifft alle Systeme gleichermaßen. Zerodaygeheimdienstmalware bedroht freie Linuxe und ungeriegelte iPhones genauso wie Windows. Das ist eine ganz andere Liga als das gewöhnliche Klingklangklong*.

    *) https://www.heise.de/forum/heise-online/Kommentare/Cyberangriff-auf-Anhalt-Bitterfeld-Suche-nach-Luecken-Stellungnahme-des-CCC/gezielte-Angriffe/posting-39275338/show/

  2. AUTSCH: COM-Hijacking ist (beispielsweise), wenn der Registry-Eintrag

    HKEY_CURRENT_USER\Software\Classes\CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32

    ausgewertet wird; dummerweise wird der benutzer-spezifische Registryzweig seit Windows Vista nur von UNPRIVILEGIERTEN Prozessen beim Laden von COM-Objekten ausgewertet.
    Dito können nur privilegierte Prozesse Dateien unter C:\Windows\System32\… anlegen, d.h. zur Installation sowie Aktivierung des gefundenen Schädlings waren Administratorrechte erforderlich — und mit diesen hat ein Angreifer bereits die volle Kontrolle, d.h. das Scheunentor stand OFFEN!

  3. Peter sagt:

    >> Der Ordner ist mit der japanischen Eingabemethode (IMEJP)
    >> C:\WINDOWS\system32\IMEJP\IMJPUEXP.DLL

    Ich hatte gerade eben mal nachgesehen – fehlt im o.g. Pfad eventuell noch ein "IME", d.h. wäre der komplette Pfad nicht C:\WINDOWS\system32\IME\IMEJP\IMJPUEXP.DLL ?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.