摘要
卡巴斯基在今年早些时候的报告中提到,Bitter APT组织针对中国和巴基斯坦政府和电信实体的网络间谍活动,从2020年6月开始,持续到2021年4月。
活动中使用的两个0-day漏洞来自一个名叫摩西的家庭(Moses)该公司的幕后身份是德克萨斯州奥斯汀的一家名为 的黑客技术提供商Exodus Intelligence 的公司。
该公司的客户之一是印度Bitter APT该公司向印度提供零日漏洞研究资料,印度将其武器化,并应用于网络间谍攻击,Exodus在发现印度非常规使用其技术后,与其切断业务联系。
另外,Exodus该公司的零日漏洞数据似乎被印度泄露或滥用。卡巴斯基表示,摩西制造的至少六个漏洞在过去两年中被滥用,除了披露使用的两个零日漏洞外,例如DarkHotel该组织利用了摩西的零日漏洞。
其中一个0Day漏洞(CVE-2021-1732)在野攻中被安恒捕获。
美国Exodus Intelligence印度政府滥用了该公司的攻击技术
今年早些时候,俄罗斯卡巴斯基网络安全公司的研究人员分析了中巴政府和电信实体的 Microsoft Windows PC 网络间谍活动。
该活动始于 2020 6 月开始,一直持续到 2021年 4 月。研究人员注意到,间谍活动中使用的黑客软件间谍活动使用Bitter APT组织使用。它的恶意代码在各个方面看起来都类似于卡巴斯基防病毒提供商之前报告中披露的一些内容,并归因于一个名称“摩西(Moses)”的公司。
卡巴斯基说,摩西是一个神秘的黑客技术提供商,被称为“经纪人利用零日漏洞”。这些公司在价值1300 1亿美元的网络安全行业经营利益市场,为客户提供利益市场“漏洞利用”软件(也可以被称为“0-day”(零日)允许攻击者入侵未修复漏洞的计算机,就像超级强大的解锁工具一样。这些技术人员在操作系统或应用程序中发现漏洞,方便黑客或间谍入侵目标。
利用这些漏洞是极其罕见的,提供一个漏洞可以赚取超过 200 1万美元的漏洞赏金。使用这些漏洞0-day有漏洞的买家可以保护自己免受相关影响0-day侵犯或利用漏洞对他人造成伤害。
例如,在 2020 年SolarWinds攻击者至少使用了一个软件提供商及其许多客户(从美国政府部门到思科和微软等科技巨头)0-day漏洞。这次攻击使 SolarWinds如果包括同样受到攻击的 ,公司损失至少1800万美元SolarWinds 客户成本,总数可能达到数百亿美元。
有时候,美国公司不是受害者,而是助长数字间谍活动盛行的助手。据两位了解卡巴斯基研究的消息人士透露,福布斯了解到摩西是德克萨斯州奥斯汀的一家公司,名为 Exodus Intelligence 公司。一位消息人士补充说,摩西的客户之一是印度 Bitter APT组织。
Exodus在过去的十年里,在网络安全和情报领域鲜为人知,Exodus 通过《时代》杂志的封面故事和执法部门破解匿名浏览器 Tor以诱捕儿童实施性犯罪的工具而闻名。
还声称国防部研究机构 Darpa 以及思科和 Fortinet 等主要科技公司建立了合作伙伴关系,后者是一家价值26 1亿美元(2020 年销售额)的网络安全机构。
Exodus 在被五眼联盟国家(包括美国、英国、加拿大、澳大利亚和新西兰)或其盟友询问时,将提供关于零日漏洞的信息,并使用所需的软件。公司的主要产品是为客户提供零日漏洞的定制运营,每年高达2.5万美元。
客户可以使用 Exodus 提供的零日漏洞信息通常涵盖所有流行的操作系统,包括 Windows 谷歌的 Android 和苹果的 iOS系统。
37 岁的 Exodus 首席执行官兼联合创始人 Logan Brown 说印度购买了这个产品,很可能已经武器化了。他告诉福布斯,他认为印度精心挑选了一个允许深入访问微软操作系统的系统Windows 漏洞由印度政府人员或承包商改编为恶意攻击。
Brown说,Exodus随后,该公司停止月份停止在印度购买新的零日漏洞研究,并与微软合作修复漏洞。Brown说,尽管 Exodus 并没有限制客户对其研究结果的使用,但印度对其他公司零日漏洞的研究使用非常突出,并补充说:“你可以用它来攻击别人,但你不能用它来攻击巴基斯坦和中国。”(印度驻伦敦大使馆未回应置评请求。
该公司还研究了卡巴斯基归因于摩西的第二个漏洞,这是另一个允许黑客在 Windows 在计算机上获得更高权限的漏洞。它与任何特定的间谍活动无关,但Brown证实漏洞来自他们公司的研究。
Brown 目前也在调查其代码是否被他人泄露或滥用。据卡巴斯基说,除了被滥用的两个除了零日漏洞,摩西公司制造的至少六个漏洞在过去两年中被滥用。
根据卡巴斯基的说法,另一个名为 DarkHotel 的黑客团队(一些研究人员认为该组织是由韩国赞助的)使用了摩西的零日漏洞,尽管韩国不是 Exodus客户。Brown 说:“我们确信印度泄露了我们的一些研究。从那以后,我们切断了印度的业务,从那以后再也没有听到任何消息。”
任何这样的零日漏洞泄漏事件都特别令人担忧。该公司试图每年控制大约50个零日漏洞,涵盖世界上最流行的操作系统Windows 到 Android 再到 Apple 的 iOS。
Brown不是唯一一个看到他的研究以他不想看到的方式被使用的人。Luca Todesco 是意大利零日漏洞开发商,去年看到黑客使用iPhone在对敏感人群(少数人受到威胁)进行漏洞监测后,他在推特上说“我从工作中看到了最糟糕的结果”。
在谷歌研究人员详细介绍了遭到iPhone 黑客攻击后,Todesco意识到科技巨头详细介绍的其中一项技术看起来像是他开发和与联系人分享的东西。Twitter 在发布的消息中,Todesco 否认他出售了任何攻击代码,但他说他已经公开与许多不知名的人分享了他的发现。
他声称自己不知道自己的代码是如何被用来攻击敏感人群的,他补充道:“如果我知道,我会避免分享。”他将共同创立一家新的意大利公司 Dataflow Security 继续利用漏洞开发。
(Exodus Intelligence 前联合创始人 Aaron Portnoy 现在致力于更多的防御技术。他的上一家公司正在调查其黑客工具是否泄露)
Exodus的联合创始人 Aaron Portnoy 最担心这种情况。Portnoy 花了十年时间开发安全黑客软件,可以绕过世界上最大的公司(苹果、谷歌、微软)。
当 Portnoy 2015年离开 Exodus 他继续为国防巨头服务Raytheon圣地亚哥和一家公司“electronic warfare”创业公司工作。但今天,这位36 岁的自学成才黑客从黑客从黑客到黑客Northwestern大学辍学,开始了他的网络安全职业生涯。他担心他永远不知道谁能访问他的代码或他们如何使用它们。现在他后悔把他的零日漏洞控制权交给了销售人员。
Aaron Portnoy说:“我觉得我被利用了,就像我是一个用于更大目的的工具,我缺乏洞察力。Portnoy马萨诸塞州Randori网络安全公司工作。
Moussouris 说,Exodus 切断印度业务是正确的,买家有更多的责任防止滥用。Brown说,他在Exodus黑客技术曝光后,不得不与另一位客户(法国警察局)断绝关系,该机构将其黑客技术用于锁定犯罪儿童的人员。
Brown补充说:"我们的数据在任何时候都会被公众接触,尤其是恶意行为者。Brown、Portnoy和另一位Exodus联合创始人曾在零日计划(Zero Day Initiative)工作过,Exodus顾问和创始人佩德拉姆-阿米尼(Pedram Amini)令人印象深刻的是,该公司在十年内只与两位客户切断了业务关系。阿米尼补充说,他对此表示Exodus对客户审核过程感到满意。并补充说:“如果公司与沙特人合作,我根本不会进入公司。”
(关于 NSO Group 软件是世界各地针对活动家、记者和政治家的 iPhone 攻击活动及相关指控导致跨境电话和 的改进PC 对监控的理解和警惕)
Brown该公司知道其零日软件可以用于攻击,因此可以选择不出售给印度政府,该国最近被指控滥用以色列NSO集团制造的间谍软件。
今年早些时候,一个叫 " 飞马计划"反对派印度国大党领导人拉胡尔的报纸和非营利组织联盟声称-甘地及其一些亲信电话被监控,导致纳伦德拉总理·莫迪的政府指控叛国。(政府否认未经授权使用间谍软件。
2019年,Facebook旗下的WhatsApp据说印度记者和活动人士被告知NSO的iPhone目标是锁定监控软件。蒙克学院多伦多大学公民实验室(Citizen Lab)约翰,高级研究员-斯科特-雷尔顿(John Scott-Railton)说:"向印度政府出售攻击性目的技术,可能会导致滥用。" 同样,Todesco选择对他的发现保密,而不是与联系人分享。
今年早些时候,微软总裁布拉德-史密斯警告了全球间谍软件行业来的危险,并点名批评NSO。他说,行业供应商正在向国家攻击者提供更多的攻击能力,并加剧网络攻击向其他政府的传播。这些政府有钱,但没有资源制造自己的武器。
随着印度出格使用这种技术人们担心美国人会让事情变得更糟。福布斯今年早些时候透露,总部设在波士顿的风险投资公司Battery曾悄悄帮助NSO的竞争对手Paragon公司。
本月早些时候,司法部披露,两家美国公司向阿联酋的一家承包商出售iPhone黑客软件--每个工具的成本为130万美元,承包商正在为阿联酋进行间谍活动。
据路透社报道,这些iOS漏洞被用于数百个目标,包括卡塔尔的埃米尔和也门的诺贝尔和平奖人权活动家。我们需要了解美国在私人进攻市场中扮演什么角色,斯科特-雷尔顿补充说。
美国政府渴望黑客攻击各种技术。Brown联邦调查局联系了一些案件Exodus该公司表示,它希望为家庭摄像头和其他设备提供更好的 "监控能力"。Brown此外,今年夏天,随着科维德事件后的重新开放,许多机构工作人员返回办公室,因此需求激增,特别是对智能手机监控工具的需求。