{"id":255795,"date":"2021-07-19T12:45:36","date_gmt":"2021-07-19T10:45:36","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255795"},"modified":"2023-03-10T00:21:39","modified_gmt":"2023-03-09T23:21:39","slug":"devilstongue-spionagesoftware-der-israelischen-firma-candiru-nutzte-windows-schwachstellen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/19\/devilstongue-spionagesoftware-der-israelischen-firma-candiru-nutzte-windows-schwachstellen\/","title":{"rendered":"DevilsTongue Spionagesoftware der israelischen Firma Candiru nutzte Windows-Schwachstellen"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Nachdem ich gerade \u00fcber Spionage-Trojaner der israelischen NSO Group auf Smartphones berichtete (siehe Pegasus-Spionagesoftware der NSO-Group auf vielen Smartphones<\/a>), kann ich auch den zweiten Fall offen legen. Die israelischen Firma Candiru hat Schwachstellen in Windows ausgenutzt, um ihre DevilsTongue genannte Spionagesoftware auf installieren. Die Schwachstellen sind inzwischen aber behoben.<\/p>\n

<\/p>\n

\"\"Microsoft hat bereits am 15. Juli 2021 diesen Sachverhalt im Blog-Beitrag Protecting customers from a private-sector offensive actor using 0-day exploits and DevilsTongue malware<\/a> \u00f6ffentlich gemacht. Das Microsoft Threat Intelligence Center (MSTIC) hat zusammen mit dem Microsoft Security Response Center (MSRC) einen privaten offensiven Akteur (Private Sector Offensive Actor, PSOA) entdeckt, den Microsoft als SOURGUM bezeichnet. Dieser Akteur hatte Kenntnis der jetzt gepatchten Windows 0-Day-Exploits (CVE-2021-31979 und CVE-2021-33771).<\/p>\n

Die Sicherheitsforscher von Citizen Lab nehmen in diesem Blog-Beitrag<\/a> kein Blatt vor den Mund und nennen die israelische Firma Candidru als Urheber. Das abseits der \u00d6ffentlichkeit agierende Unternehmen Candiru erstellt Hacking-Tools, die zum Einbruch in Computer und Server verwendet werden.<\/p>\n

Die Sicherheitsforscher von Citizen Lab identifizierten ein politisch aktives Opfer in Westeuropa und konnten eine Kopie der Windows-Spyware von Candiru sicherstellen. Mithilfe von Internet-Scans haben die Sicherheitsforscher mehr als 750 Websites identifiziert, die mit der Spyware-Infrastruktur von Candiru verbunden sind. Die Forscher fanden viele Domains, die sich als Interessenvertretungsorganisationen von NGOs wie Amnesty International, die Black Lives Matter-Bewegung sowie als Medienunternehmen und andere zivilgesellschaftliche Organisationen ausgaben, aber die Candiru-Sp\u00e4hsoftware auslieferten.<\/p>\n

Offenbar sollten politisch Aktive durch die Candiru-Sp\u00e4hsoftware ausgekundschaftet werden, schlie\u00dfen die Sicherheitsforscher aus den gefundenen Webseiten. Ein geleaketer Candiru-Projektvorschlag, der von TheMarker ver\u00f6ffentlicht wurde<\/a>, zeigt, dass die Spyware von Candiru \u00fcber eine Reihe verschiedener Vektoren installiert werden kann, darunter b\u00f6sartige Links, Man-in-the-Middle-Angriffe und physische Angriffe.\u00a0 Es wird auch ein Vektor namens \"Sherlock\" angeboten, der angeblich unter Windows, iOS und Android funktioniert. Dabei handelt es sich m\u00f6glicherweise um einen browserbasierten Zero-Click-Vektor f\u00fcr Angriffe.<\/p>\n

Details zur Spyware<\/h2>\n

Die Spyware von Candiru wurde \u00fcber COM-Hijacking des nachfolgend genannten Registrierungsschl\u00fcssels persistent in Windows installiert:<\/p>\n

HKEY_LOCAL_MACHINE\\Software\\Classes\\CLSID\\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\\InprocServer32<\/p>\n

Normalerweise verweist der Wert dieses Registrierungsschl\u00fcssels auf die\u00a0 Datei wmiutils.dll <\/em>(geh\u00f6rt zu \"Windows Management Instrumentation\"). Auf dem infizierten Computer wurde der Eintrag so ge\u00e4ndert, dass er auf eine b\u00f6sartige DLL-Datei verweist, die im Windows-Systemordner abgelegt wurde. Der Ordner ist mit der japanischen Eingabemethode (IMEJP)<\/p>\n

C:\\WINDOWS\\system32\\IMEJP\\IMJPUEXP.DLL<\/p>\n

verbunden. Dieser Ordner ist harmlos und in einer Standardinstallation von Windows 10 enthalten, aber IMJPUEXP.DLL<\/em> ist nicht der Name einer legitimen Windows-Komponente.<\/p>\n

Beim Windows-Start wird automatisch der Windows Management Instrumentation-Dienst geladen, der den DLL-Pfad im Registrierungsschl\u00fcssel nachschl\u00e4gt und dann die DLL aufruft. Damit ist die Spyware wirksam. Microsoft und Citizen Lab haben bei der Analyse zusammen gearbeitet, wie man hier nachlesen<\/a> kann. Es wurden weltweit mehr als 100 Opfer dieser Spyware gefunden, darunter Politiker, Menschenrechtsaktivisten, Journalisten, Akademiker, Botschaftsmitarbeiter und politische Dissidenten. Um diese Angriffe einzud\u00e4mmen, hat Microsoft Schutzmechanismen gegen diese einzigartige DevilsTongue-Spyware entwickelt und in seine Produkte integriert. Auch die anderen Antiviren-Hersteller d\u00fcrften die Malware inzwischen erkennen. Zudem wurde Windows durch ein Software-Update vor den verwendeten Exploits gesch\u00fctzt.<\/p>\n

Citizen Lab breitet in diesem Artikel<\/a> die Details zur Spyware aus, die wohl nicht direkt von Candiru eingesetzt, sondern nur an diverse Kunden verkauft wurde. Diese haben dann die Software verwendet, um die oben genannten Opfer zu infizieren. Der Fall zeigt, gemeinsam mit dem Fall der Pegasus-Spionagesoftware<\/a>, dass die Dinge l\u00e4ngst aus dem Ruder gelaufen sind.<\/p>\n

Alles abschalten<\/h2>\n

Im Moment kann man eigentlich nur noch das Zeug abschalten, denn zwischen Angriffen von staatlichen Hackergruppen zur Spionage, Ransomware-Angriffen von privaten Gangs und den von Staaten angewandten Spionage- und \u00dcberwachungstools bleibt wenig Raum, um unbehelligt zu bleiben. Und die \"ich habe nichts zu verbergen\"-Fraktion exponiert sich dann noch freiwillig in sozialen Medien.<\/p>\n

Gerade hat Facebook bekannt<\/a> gegeben, dass man Ma\u00dfnahmen gegen eine iranische Hackergruppe unternommen habe. Diese hatte versucht, Milit\u00e4rangeh\u00f6rige \u00fcber Facebook mittels Social-Engineering in die Falle zu locken. Die Stasi h\u00e4tte feuchte Augen bekommen, wenn bis 1989 solche Mittel zur Verf\u00fcgung gestanden h\u00e4tten.<\/p>\n

\"Tweet<\/a><\/p>\n

Und im Hinblick auf \"wir werten anonymisierte Benutzerdaten aus\", die \u00fcber Webseiten oder soziale Netzwerke \u00fcber die Ger\u00e4te des Surfers erfasst werden, ist mir gerade obiger Tweet<\/a> unter die Augen gekommen. Vice wirft in diesem Artikel<\/a> einen Blick auf eine Phalanx aus Firmen, die sich darauf spezialisiert haben, aus genau diesen anonymisierte Benutzerdaten die Identit\u00e4ten der Menschen wieder zu ermitteln.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Nachdem ich gerade \u00fcber Spionage-Trojaner der israelischen NSO Group auf Smartphones berichtete (siehe Pegasus-Spionagesoftware der NSO-Group auf vielen Smartphones), kann ich auch den zweiten Fall offen legen. Die israelischen Firma Candiru hat Schwachstellen in Windows ausgenutzt, um ihre DevilsTongue genannte … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,4315,3288],"class_list":["post-255795","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255795","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=255795"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255795\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=255795"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=255795"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=255795"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}