印度某APT組織從美國安全公司購買漏洞用于攻擊
摘要
卡巴斯基在今年早些時候的報告中提到,Bitter APT組織針對中國和巴基斯坦政府和電信實體的網(wǎng)絡(luò)間諜活動,該活動2020 年 6 月開始,一直持續(xù)到 2021 年 4 月。
在該活動中使用的兩個0-day漏洞是來自一家名為摩西(Moses)的黑客技術(shù)提供商,該公司的幕后身份是位于德克薩斯州奧斯汀的一家名為 Exodus Intelligence 的公司。
該公司的客戶之一是印度的Bitter APT組織,該公司向印度提供零日漏洞研究資料,印度將其武器化,并應(yīng)用在網(wǎng)絡(luò)間諜攻擊當中,Exodus在發(fā)現(xiàn)印度非常規(guī)使用其技術(shù)后,與其切斷業(yè)務(wù)聯(lián)系。
另外,Exodus公司的零日漏洞資料似乎被印度泄露或濫用,卡巴斯基表示,除了已經(jīng)披露被利用的兩個零日漏洞外,摩西公司制造的至少六個漏洞在過去兩年中已經(jīng)遭到濫用,例如DarkHotel組織就曾利用過摩西的零日漏洞。
其中一個0Day漏洞(CVE-2021-1732)被安恒在在野攻擊中捕獲。
美國Exodus Intelligence公司的攻擊技術(shù)遭印度政府濫用
今年早些時候,俄羅斯卡巴斯基網(wǎng)絡(luò)安全公司的研究人員,分析了一起針對中國和巴基斯坦政府和電信實體的 Microsoft Windows PC 的網(wǎng)絡(luò)間諜活動。
該活動從 2020 年 6 月開始,一直持續(xù)到 2021 年 4 月。引起研究人員注意的是間諜活動中所使用的黑客軟件,被Bitter APT組織所使用。其惡意代碼在各個方面看起來像之前卡巴斯基防病毒提供商之前報告披露到的一些內(nèi)容相似,并歸因于一家名為“摩西(Moses)”的公司。
卡巴斯基表示,摩西是一個神秘的黑客技術(shù)提供商,被稱為“零日漏洞利用經(jīng)紀人”。這些公司在價值 1300 億美元網(wǎng)絡(luò)安全行業(yè)中運營著一個利益市場,對客戶提供一種“漏洞利用”的軟件(也可以通過被稱為“0-day”(零日)),其允許攻擊者入侵未修補漏洞的計算機,這些漏洞就像超級強力的開鎖工具。這些技術(shù)人員在操作系統(tǒng)或應(yīng)用程序中尋找漏洞,以方便讓黑客或間諜侵入目標。
這些漏洞利用極其罕見,提供單個漏洞可賺取超過 200 萬美元的漏洞賞金。而使用這些0-day漏洞的買家則可以保護自己免受相關(guān)0-day漏洞的侵害,或者利用該漏洞對他人造成傷害。
例如,在 2020 年針對SolarWinds軟件提供商及其許多客戶(從美國政府部門到思科和微軟等科技巨頭)的攻擊中,攻擊者至少使用了一個0-day漏洞。本次攻擊使 SolarWinds公司損失了至少 1800 萬美元,如果算上同樣受到攻擊的 SolarWinds 客戶的成本,那么總體數(shù)字可能會達到數(shù)百億美元。
有時,美國公司不是受害者,反而是助長數(shù)字間諜活動盛行的協(xié)助者。據(jù)兩位了解卡巴斯基研究的消息人士透露,福布斯了解到,摩西公司的身份是位于德克薩斯州奧斯汀的一家名為 Exodus Intelligence 的公司。一位消息人士補充說,摩西的其中一位客戶是位于印度的 Bitter APT組織。
Exodus在網(wǎng)絡(luò)安全和情報領(lǐng)域之外鮮為人知,在過去十年中,Exodus 憑借《時代》雜志的封面故事和執(zhí)法部門用來破解匿名瀏覽器 Tor以誘捕針對兒童實施性犯罪的人員的工具而聲名鵲起。
它還聲稱與國防部研究機構(gòu) Darpa 以及思科和 Fortinet 等主要科技公司建立了合作伙伴關(guān)系,后者是一家價值 26 億美元(2020 年銷售額)的網(wǎng)絡(luò)安全機構(gòu)。
Exodus 在被五眼聯(lián)盟國家(包括美國、英國、加拿大、澳大利亞和新西蘭在內(nèi)的情報共享國家聯(lián)盟)或其盟友詢問時,將提供有關(guān)零日漏洞的信息和利用所需的軟件。該公司的主要產(chǎn)品是提供零日漏洞的相關(guān)信息,供客戶進行定制化操作,價格高達每年 250,000 美元。
客戶可以利用 Exodus 提供的零日漏洞信息進行任意操作,這些漏洞信息通常涵蓋所有流行的操作系統(tǒng),包括從 Windows 到谷歌的 Android 和蘋果的 iOS系統(tǒng)。
37 歲的 Exodus 首席執(zhí)行官兼聯(lián)合創(chuàng)始人 Logan Brown 說,印度購買了這種產(chǎn)品,并且很可能已經(jīng)將其武器化。他告訴福布斯,他認為印度從中精心挑選了一個允許深入訪問微軟操作系統(tǒng)的Windows 漏洞,并由印度政府人員或承包商將其改編為惡意攻擊手段。
Brown說,Exodus公司隨后在 4 月份停止印度購買其新的零日漏洞研究,并與微軟合作修補漏洞。Brown說,盡管 Exodus 并沒有限制客戶對其研究結(jié)果的使用,但印度對他公司關(guān)于零日漏洞的研究使用是出格的,并補充說:“你可以用來攻擊別人,但你不能將其作為工具攻擊巴基斯坦和中國。”(印度駐倫敦大使館沒有回應(yīng)置評請求。)
該公司還研究了卡巴斯基歸因于摩西的第二個漏洞,這是另一個允許黑客在 Windows 計算機上獲得更高權(quán)限的漏洞。它與任何特定的間諜活動無關(guān),但Brown證實該漏洞來自他們公司的研究。
Brown 目前也在調(diào)查其代碼是否被他人泄露或遭到濫用。據(jù)卡巴斯基稱,除了已經(jīng)被濫用的兩個零日漏洞之外,摩西公司制造的至少六個漏洞在過去兩年中已經(jīng)遭到濫用。
根據(jù)卡巴斯基的說法,另一個名為 DarkHotel 的黑客團隊(一些研究人員認為該組織由韓國贊助)使用了摩西的零日漏洞,盡管韓國不是 Exodus 的客戶。Brown 說:“我們很確定印度泄露了我們的一些研究,自那以后我們切斷了印度業(yè)務(wù),并從那時起就再也沒有聽到任何消息。”
任何此類零日漏洞泄漏事件都特別令人擔憂,該公司試圖控制每年大約 50 個零日漏洞,這些漏洞涵蓋世界上最流行的操作系統(tǒng),從 Windows 到 Android 再到 Apple 的 iOS。
Brown并不是唯一一個看到他的研究以他不想看到的方式遭到使用的人。Luca Todesco 是意大利零日漏洞開發(fā)者,去年在看到黑客利用iPhone漏洞監(jiān)視敏感人群(少數(shù)人受到威脅)后,他在推特上說“我從我的工作中看到最糟糕的結(jié)果”。
在谷歌研究人員詳細介紹了遭到iPhone 黑客的攻擊活動后,Todesco意識到,這家科技巨頭詳細介紹的其中一項技術(shù)看起來很像他開發(fā)并與聯(lián)系人分享的東西。在 Twitter 上發(fā)布的消息中,Todesco 否認他曾出售任何被用于攻擊的代碼,但他表示已與多個不知名的人公開分享他的發(fā)現(xiàn)。
他聲稱他不知道他的代碼如何或為什么被用于攻擊敏感人群,他補充說:“如果我知道,我會避免分享。”他將在共同創(chuàng)立的一家新意大利公司 Dataflow Security 中繼續(xù)開發(fā)漏洞利用。
(Exodus Intelligence 前聯(lián)合創(chuàng)始人 Aaron Portnoy 現(xiàn)在致力于更多防御性技術(shù)。他的上家公司現(xiàn)在正在調(diào)查其黑客工具是否泄露)
Exodus的聯(lián)合創(chuàng)始人 Aaron Portnoy 最擔心這種情況發(fā)生。Portnoy 花了十年時間開發(fā)可以繞過世界上最大的公司(蘋果、谷歌、微軟)的安全性黑客軟件。
當 Portnoy 于 2015 年離開 Exodus 時,他繼續(xù)為國防巨頭Raytheon公司和一家位于圣地亞哥的“electronic warfare”初創(chuàng)公司工作。但是今天,這位 36 歲的自學成才的黑客從黑客從Northwestern大學退學,并開始了自己的網(wǎng)絡(luò)安全職業(yè)生涯,他擔心他永遠不知道誰可以訪問他的代碼或他們?nèi)绾问褂眠@些代碼。他現(xiàn)在后悔將他的零日漏洞控制權(quán)交給銷售人員。
Aaron Portnoy說:“我感覺我被利用了,這就像我是一個被用于更大目的的工具,我缺乏洞察力。現(xiàn)在,Portnoy在馬薩諸塞州的Randori網(wǎng)絡(luò)安全公司工作。
Moussouris 說,Exodus 切斷印度的業(yè)務(wù)是正確的,在防止濫用方面,買家有著更多的責任。Brown說,他在Exodus的黑客技術(shù)被曝光后,不得不與另一個客戶(法國警察機構(gòu))斷絕關(guān)系,該機構(gòu)將其黑客技術(shù)用來鎖定對兒童實施犯罪的人員。
Brown補充說:"任何時候我們的數(shù)據(jù)被公眾接觸到,特別是惡意行為者,都是一種違約行為。Brown、Portnoy和另一位Exodus聯(lián)合創(chuàng)始人曾在零日計劃(Zero Day Initiative)工作過,Exodus的顧問和創(chuàng)始人佩德拉姆-阿米尼(Pedram Amini)說,該公司在十年內(nèi)僅與兩個客戶切斷業(yè)務(wù)關(guān)系的記錄令人印象深刻。阿米尼補充說,他對Exodus在審查客戶時的流程感到滿意。并補充說:“如果公司與沙特人合作,我根本不會進入這家公司。”
(關(guān)于 NSO Group 軟件正在世界各地針對活動家、記者和政治家的 iPhone 攻擊活動和相關(guān)指控,導致人們提高對跨境電話和 PC 監(jiān)控的認識和警覺)
Brown的公司知道自己的零日軟件可以被用于攻擊,因此可以選擇不向印度政府出售,這個國家在最近被指控濫用以色列NSO集團制造的間諜軟件。
今年早些時候,一個名為 "飛馬計劃 "的報紙和非營利組織聯(lián)盟聲稱,反對派印度國大黨領(lǐng)導人拉胡爾-甘地及其一些親信的電話被監(jiān)視了,導致對總理納倫德拉·莫迪的政府提出叛國指控。(政府否認發(fā)生過任何未經(jīng)授權(quán)使用間諜軟件的情況。)
2019年,F(xiàn)acebook旗下的WhatsApp表示,印度記者和活動人士被NSO的iPhone監(jiān)控軟件鎖定為目標。多倫多大學蒙克學院公民實驗室(Citizen Lab)高級研究員約翰-斯科特-雷爾頓(John Scott-Railton)說:"向印度政府出售可用于攻擊性目的的技術(shù),將會陷入一種可能會助長這種濫用的局面發(fā)生。" 同樣,Todesco可以選擇對他的發(fā)現(xiàn)保密,而不是與聯(lián)系人分享。
今年早些時候,微軟總裁布拉德-史密斯對全球間諜軟件行業(yè)所帶來的危險發(fā)出警告,并點名批評了NSO。他說,行業(yè)供應(yīng)商正在將更多的攻擊能力交給民族國家攻擊者,并加劇了網(wǎng)絡(luò)攻擊向其他政府的擴散,這些政府有錢但沒有資源制造自己的武器。
隨著印度出格使用這種技術(shù)的情況發(fā)現(xiàn),人們擔心美國人正在使事情變得更加糟糕。福布斯今年早些時候披露,總部設(shè)在波士頓的風險投資公司Battery曾悄悄幫助NSO的競爭對手Paragon公司。
本月早些時候,司法部披露兩家美國公司向阿聯(lián)酋的一家承包商出售了iPhone黑客軟件--每個工具的成本為130萬美元,該承包商正在為阿聯(lián)酋進行間諜活動。
據(jù)路透社報道,這些iOS漏洞被用于數(shù)百個目標,包括卡塔爾的埃米爾和也門的一名諾貝爾和平獎人權(quán)活動家。我們需要了解美國在私人進攻市場中扮演著什么樣的角色,斯科特-雷爾頓補充說。
美國政府渴望各種技術(shù)以進行黑客攻擊。Brown說,在一些案件發(fā)生后,聯(lián)邦調(diào)查局聯(lián)系了Exodus公司,說它希望為家庭攝像頭等設(shè)備提供更好的 "監(jiān)控能力"。Brown補充說,由于今年夏天,許多機構(gòu)工作人員隨著科維德事件后的重新開放而返回辦公室,因此需求激增,特別是對智能手機監(jiān)控工具的需求。
