Het Russische securitybedrijf spreekt van een Cyber Cosa Nostra (naar de Siciliaanse maffia), naar aanleiding van zijn analyse van legale spyware. Die surveillance-software van het Italiaanse bedrijf HackingTeam gebruikt diverse manieren om binnen te komen op pc's van slachtoffers. Daaronder twee 0-day gaten die zijn ontdekt door het Franse securitybedrijf Vupen, die zijn ontdekkingen verhandelt aan overheidsklanten.

Mensenrechten en dissidenten

Probleem volgens Kaspersky is dat de “zogenaamde 'legale' surveillance-malware" van HackingTeam de afgelopen maanden is ingezet tegen diverse mensenrechtenactivisten en politieke dissidenten wereldwijd. Daaronder landen in Afrika (waaronder Mali), Zuid-Amerika en het Midden-Oosten (inclusief Saudi-Arabië en Iran). Het gaat concreet om de encryptie-omzeilende tool Remote Control System (RCS, codenaam DaVinci) van de Italiaanse leverancier.

De door Kaspersky gedetecteerde inzet van overheidsspyware DaVinci (wat door Kaspersky's software Backdoor.Win32/64.Korablin.a wordt genoemd): Klik voor groot Via: Kaspersky.

Bij de analyse van die spyware en de inzet daarvan heeft Kaspersky ook een gloednieuw beveiligingsgat ontdekt in de Flash Player van Adobe. Dat 0-day gat (CVE-2013-0633) is stilletjes gemeld aan die softwareleverancier, die het vorige week heeft gedicht. Adobe heeft daarbij gemeld dat er sprake is van gerichte aanvallen via deze kwetsbaarheid.

Russisch, Frans, Pools en Italiaans

Naast de door Kasperksy aangetroffen 0-day bevat het arsenaal van DaVinci dus twee 0-days die zijn ontdekt door het Franse Vupen. Verder wendt die Italiaanse spywaretool een zelf-ondertekende Java-applet aan, alsook een 0-day die op naam staat van het Poolse securitybedrijf Security Explorations. Laatstgenoemde geniet bekendheid als ontdekker van een groot aantal Java-gaten.

Toch ziet het Russische bedrijf nu een relatie tussen de overheidsspyware van Italiaanse maak en de Franse verkoper van 0-days. “We weten niet of de exploits zijn ontdekt en gecreëerd in parallel door beide teams of dat HackingTeam gewoon één van Vupens klanten is", geeft security-onderzoeker Sergey Golovanov wel toe in zijn blogpost.

Vupen: domme link

“Toch is er schijnbaar een link tussen de twee bedrijven in de zin dat malware geschreven door HackingTeam vaak wordt ingezet met gebruik van Vupen 0-days." Ceo Chaouki Bekrar van het Franse bedrijf ontkent de hele affaire. De Italiaanse firma is geen klant, stelt Bekrar in een reactietweet, want Vupen levert alleen aan overheden.

Verder is volgens hem de genoemde exploitcode niet afkomstig van het Franse bedrijf, en kunnen kwetsbaarheden overlappen. Dat weet iedereen “met een brein", haalt de ceo uit. Hij doelt daarmee op ontdekking van beveiligingsgaten die gelijktijdig kan plaatsvinden of die juist voortvloeit uit de ontdekking van een ander gat.

0-days aan de lopende band

Zo noemt hij twee gaten (één in Internet Explorer en één in Java) die als 0-days zijn misbruikt 'in the wild' maar die ook zijn ontdekt en gemeld via het Zero Day Initiative. Dat is een programma van HP's securitytak TippingPoint waarbij hackers kwetsbaarheden kunnen melden waarna de oorspronkelijke leverancier wordt ingelicht om een patch te kunnen maken. In de tussentijd biedt TippingPoint zijn betalende klanten bescherming tegen misbruik van die 0-day gaten.

Vupen-ceo Bekrar stelt ook nog dat de grootste handelaars in 0-days juist Amerikaanse firma's zijn. Hij noemt Defensie-toeleveranciers Northrop, Lockheed Martin, Raytheon en het door oud-CIA-topmensen opgerichtte Endgame Systems. De Franse security-onderzoeker reageert daarmee op kritiek van security-expert en privacy-activist Christopher Soghoian, die de hele handel in 0-days afkeurt.