由一家以色列公司創(chuàng)建并據(jù)稱被世界各國政府用來監(jiān)視持不同政見者的一組獨特的間諜軟件已被微軟發(fā)現(xiàn),。

　　加拿大多倫多大學(xué)Munk全球事務(wù)學(xué)院旗下跨學(xué)科實驗室Citizen Lab與微軟首先披露該惡意軟件,。據(jù)Citizen Lab稱，自2014年到2020年之間，這家私營公司總計換了5個公司名稱,，從Candiru、DF Associates、Grindavik Solutions、Taveta到Saito Tech,。據(jù)報道該公司專門向政府出售其產(chǎn)品。根據(jù)周四發(fā)布的一份咨詢報告,，這款新間諜軟件DevilsTongue通過利用Windows中的一對0day漏洞（現(xiàn)已修補）,，已被用于針對公民社會的高度針對性的網(wǎng)絡(luò)攻擊。

　　Citizen Lab和微軟日前表示,，至少有10個國家的上百名知名活動人士遭受到了這款DevilsTongue間諜軟件攻擊,，其中包括政治家、人權(quán)活動家,、記者,、學(xué)者、大使館工作人員和持不同政見者,。被監(jiān)控的對象遍及全球50多個國家,，包括亞美尼亞、伊朗,、以色列,、黎巴嫩、巴勒斯坦,、新加坡,、西班牙、土耳其,、英國和也門,。

　　微軟的串聯(lián)咨詢公司表示：“Sourgum通常銷售網(wǎng)絡(luò)武器，使其客戶（通常是世界各地的政府機構(gòu)）能夠入侵目標(biāo)的計算機,、電話,、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和互聯(lián)網(wǎng)連接設(shè)備，然后這些自己機構(gòu)選擇目標(biāo)和實際運作對象,?！?/p>

　　Citizen Lab的研究人員表示，DevilsTongue可以從各種帳戶中竊取數(shù)據(jù)和消息,，包括Facebook,、Gmail、Skype和Telegram,。間諜軟件還可以捕獲瀏覽歷史記錄,、cookies和密碼，打開目標(biāo)的網(wǎng)絡(luò)攝像頭和麥克風(fēng),，并截取屏幕照片,。

　　該公司表示：“從Signal Private Messenger等其他應(yīng)用程序中獲取的數(shù)據(jù)是作為附件出售的。”

　　微軟指出,，被盜的cookie稍后可以被攻擊者用來以受害者身份登錄網(wǎng)站,，以進(jìn)行進(jìn)一步的信息收集。

　　Citizen Lab研究人員表示,，該代碼可以感染和監(jiān)控Android手機,、云帳戶、iPhone,、Mac和PC,，并指出DevilsTongue的命令和控制（C2）基礎(chǔ)設(shè)施涉及750多個網(wǎng)站，包括“偽裝成倡導(dǎo)組織的域名,，例如國際特赦組織,、Black Lives Matter運動以及媒體公司?！?/p>

　　數(shù)百萬歐元

　　根據(jù)Citizen Lab獲得的一份泄露的提案,，Deviltongue作為一個工具包售價高達(dá)數(shù)百萬歐元。它可以部署在多種攻擊媒介中,，包括通過惡意鏈接、電子郵件中的附加文件和中間人攻擊,。成本取決于用戶想要維持的并發(fā)感染數(shù)量,。

　　Citizen Lab表示：“1600萬歐元的項目提案允許無限數(shù)量的間諜軟件感染嘗試，但只能同時監(jiān)控10臺設(shè)備”,?！邦~外支付150萬歐元，客戶就可以購買同時監(jiān)控15臺額外設(shè)備并附加一個在另外一個國家感染設(shè)備的能力,；額外支付550萬歐元,，客戶可以同時監(jiān)控另外25臺設(shè)備，并在另外五個國家進(jìn)行間諜活動,?！?/p>

　　它補充說：“客戶可以額外支付150萬歐元的費用，購買遠(yuǎn)程shell功能,，這使他們可以完全訪問在目標(biāo)計算機上運行的任何命令或程序,。這種功能尤其令人擔(dān)憂，因為它還可用于將文件,，例如植入犯罪材料等等,，下載到受感染的設(shè)備上?！?/p>

　　DevilsTongue的使用在少數(shù)幾個國家受到限制,，包括中國、伊朗、以色列,、俄羅斯和美國,。然而，其中顯然也存在漏洞,。

　　Citizen Lab的研究人員說：“微軟在伊朗觀察到了Candiru的受害者,，這表明在某些情況下，Candiru的產(chǎn)品確實在受限制的地區(qū)運行,。此外,，本報告中披露的目標(biāo)基礎(chǔ)設(shè)施包括偽裝成俄羅斯郵政服務(wù)的域名?！?/p>

　　0 day漏洞利用

　　該間諜軟件利用了Windows中的兩個特權(quán)提升安全漏洞CVE-2021-31979和CVE-2021-33771,，這兩個漏洞都在本周微軟的7月補丁星期二更新中得到了解決。微軟指出,，這些攻擊是通過“影響流行瀏覽器和我們的Windows操作系統(tǒng)的一系列漏洞利用”進(jìn)行的,。

　　微軟表示，這兩個漏洞都使攻擊者能夠逃脫瀏覽器沙箱并獲得內(nèi)核代碼執(zhí)行權(quán)：

　　?CVE-2021-31979：基于Windows NT的操作系統(tǒng)（NTOS）中的整數(shù)溢出,?！斑@種溢出導(dǎo)致計算出的緩沖區(qū)大小不正確，然后將其用于在內(nèi)核池中分配緩沖區(qū),。在將內(nèi)存復(fù)制到小于預(yù)期的目標(biāo)緩沖區(qū)時,，隨后會發(fā)生緩沖區(qū)溢出?？衫么寺┒雌茐南噜弮?nèi)存分配中的對象,。使用來自用戶模式的API，內(nèi)核池內(nèi)存布局可以通過受控分配進(jìn)行整理,，從而將對象放置在相鄰的內(nèi)存位置,。一旦被緩沖區(qū)溢出損壞，這個對象就可以變成用戶模式到內(nèi)核模式的讀/寫原語,。有了這些原語,，攻擊者就可以提升他們的特權(quán)?！?/p>

　　?CVE-2021-33771：NTO中的一種競爭條件,，導(dǎo)致內(nèi)核對象被釋放后再次被使用。微軟解釋說：“通過使用多個競爭線程,，可以釋放內(nèi)核對象,，并由可控對象回收釋放的內(nèi)存?！薄芭c之前的漏洞一樣,，可以使用用戶模式API向內(nèi)核池內(nèi)存噴灑分配,。如果成功，可控對象可用于形成用戶模式到內(nèi)核模式的讀/寫原語并提升權(quán)限,?！?/p>

　　微軟表示除了修補之外，為了減輕攻擊,，它還“在我們的產(chǎn)品中內(nèi)置了針對Sourgum創(chuàng)建的惡意軟件保護(hù)措施”,。

　　“這些攻擊主要針對消費者賬戶，表明Sourgum的客戶正在追求特定的個人,，我們本周發(fā)布的保護(hù)措施將阻止Sourgum的工具在已被感染的計算機上運行,，并防止在更新的計算機、運行Microsoft Defender Antivirus的計算機以及使用Microsoft Defender for Endpoint的計算機上發(fā)生新的感染,?！?/p>

　　此次用于政府監(jiān)控的網(wǎng)絡(luò)攻擊工具包的私人經(jīng)紀(jì)公司在網(wǎng)絡(luò)上被公開，主要歸功于另一家以色列公司NSO Group,，該公司創(chuàng)建了Pegasus間諜軟件,，使客戶能夠遠(yuǎn)程利用和監(jiān)控移動設(shè)備。NSO Group長期以來堅持認(rèn)為,，其工具包旨在成為政府打擊犯罪和恐怖活動的工具,，并且不會和任何政府濫用它。然而,，批評人士表示,，專制政府將其用于更邪惡的目的，以追蹤持不同政見者,、記者和其他公民社會成員——而NSO集團(tuán)則為他們提供幫助。去年12月,，Pegasus在iPhone的Apple iMessage功能中添加了一個0day漏洞,。