Microsoft encerra explorações de dia zero usadas no kit de espionagem governamental
A Microsoft revelou que uma série de patches de segurança recentes foram projetados para impedir que dois exploits de dia zero fossem vendidos como parte de um kit de espionagem para governos autoritários e agências de espionagem em todo o mundo.
O kit de espionagem, supostamente vendido pela segurança israelense Candiru, foi usado para atingir políticos, jornalistas, defensores dos direitos humanos, acadêmicos, dissidentes e mais, com pelo menos 100 vítimas. Embora 100 seja um número comparativamente baixo para outras violações ou ataques de segurança importantes, o kit de espionagem é uma ferramenta altamente avançada usada para atingir indivíduos.
Como tal, as vítimas deste kit e das explorações de dia zero são provavelmente indivíduos de alto perfil com informações valiosas sobre tópicos potencialmente sísmicos.
Microsoft trabalha com o Citizen Lab para derrubar explorações
O blog oficial de Segurança da Microsoft confirma a descoberta de um "ator ofensivo do setor privado" em posse de dois exploits de dia zero do Windows ( CVE-2021-31979 e CVE-2021-33771 ).
A Microsoft apelidou o ator de ameaça SOURGUM, observando que a equipe de segurança da Microsoft acredita que é uma empresa israelense do setor privado que vende ferramentas de segurança cibernética para agências governamentais em todo o mundo. Trabalhando com o Citizen Lab, o laboratório de vigilância de rede e direitos humanos da Universidade de Toronto, a Microsoft acredita que o malware e o kit de exploração usado pelo SOURGUM "atingiu mais de 100 vítimas em todo o mundo".
O relatório do Citizen Lab sobre as explorações cita explicitamente a Candiru, "uma empresa secreta com sede em Israel que vende spyware exclusivamente para governos". O spyware desenvolvido pela Candiru "pode infectar e monitorar iPhones, Androids, Macs, PCs e contas na nuvem".
A equipe de segurança da Microsoft observou vítimas na Palestina, Israel, Irã, Líbano, Iêmen, Espanha, Reino Unido, Turquia, Armênia e Cingapura, com muitas vítimas operando em áreas, funções ou organizações sensíveis. Os clientes relatados da Candiru incluem Uzbequistão, Arábia Saudita e Emirados Árabes Unidos, Cingapura e Qatar, com outras vendas relatadas na Europa, nações da ex-União Soviética, Golfo Pérsico, Ásia e América Latina.
Patches de segurança eliminam explorações de dia zero
Uma exploração de dia zero é uma vulnerabilidade de segurança nunca lançada que um invasor usa para violar um site, serviço ou outro. Como as empresas de segurança e tecnologia não sabem de sua existência, ele permanece vulnerável e sem correção.
Nesse caso, a empresa israelense supostamente por trás do desenvolvimento do kit de espionagem usou dois exploits de dia zero para obter acesso a produtos anteriormente seguros, integrados a uma variante de malware exclusiva chamada DevilsTongue.
Embora os ataques dessa natureza sejam preocupantes, eles costumam ser operações altamente direcionadas que normalmente não afetam os usuários regulares. Além disso, a Microsoft agora corrigiu os exploits de dia zero usados pelo malware DevilsTongue, tornando esta variante em particular inútil. Os patches foram lançados no Patch Tuesday de julho de 2021, que foi lançado no dia 6 de julho.
