由一家以色列公司創建并據稱被世界各國政府用來監視持不同政見者的一組獨特的間諜軟件已被微軟發現。

　　加拿大多倫多大學Munk全球事務學院旗下跨學科實驗室Citizen Lab與微軟首先披露該惡意軟件。據Citizen Lab稱，自2014年到2020年之間，這家私營公司總計換了5個公司名稱，從Candiru、DF Associates、Grindavik Solutions、Taveta到Saito Tech。據報道該公司專門向政府出售其產品。根據周四發布的一份咨詢報告，這款新間諜軟件DevilsTongue通過利用Windows中的一對0day漏洞（現已修補），已被用于針對公民社會的高度針對性的網絡攻擊。

　　Citizen Lab和微軟日前表示，至少有10個國家的上百名知名活動人士遭受到了這款DevilsTongue間諜軟件攻擊，其中包括政治家、人權活動家、記者、學者、大使館工作人員和持不同政見者。被監控的對象遍及全球50多個國家，包括亞美尼亞、伊朗、以色列、黎巴嫩、巴勒斯坦、新加坡、西班牙、土耳其、英國和也門。

　　微軟的串聯咨詢公司表示：“Sourgum通常銷售網絡武器，使其客戶（通常是世界各地的政府機構）能夠入侵目標的計算機、電話、網絡基礎設施和互聯網連接設備，然后這些自己機構選擇目標和實際運作對象。”

　　Citizen Lab的研究人員表示，DevilsTongue可以從各種帳戶中竊取數據和消息，包括Facebook、Gmail、Skype和Telegram。間諜軟件還可以捕獲瀏覽歷史記錄、cookies和密碼，打開目標的網絡攝像頭和麥克風，并截取屏幕照片。

　　該公司表示：“從Signal Private Messenger等其他應用程序中獲取的數據是作為附件出售的。”

　　微軟指出，被盜的cookie稍后可以被攻擊者用來以受害者身份登錄網站，以進行進一步的信息收集。

　　Citizen Lab研究人員表示，該代碼可以感染和監控Android手機、云帳戶、iPhone、Mac和PC，并指出DevilsTongue的命令和控制（C2）基礎設施涉及750多個網站，包括“偽裝成倡導組織的域名，例如國際特赦組織、Black Lives Matter運動以及媒體公司。”

　　數百萬歐元

　　根據Citizen Lab獲得的一份泄露的提案，Deviltongue作為一個工具包售價高達數百萬歐元。它可以部署在多種攻擊媒介中，包括通過惡意鏈接、電子郵件中的附加文件和中間人攻擊。成本取決于用戶想要維持的并發感染數量。

　　Citizen Lab表示：“1600萬歐元的項目提案允許無限數量的間諜軟件感染嘗試，但只能同時監控10臺設備”。“額外支付150萬歐元，客戶就可以購買同時監控15臺額外設備并附加一個在另外一個國家感染設備的能力；額外支付550萬歐元，客戶可以同時監控另外25臺設備，并在另外五個國家進行間諜活動。”

　　它補充說：“客戶可以額外支付150萬歐元的費用，購買遠程shell功能，這使他們可以完全訪問在目標計算機上運行的任何命令或程序。這種功能尤其令人擔憂，因為它還可用于將文件，例如植入犯罪材料等等，下載到受感染的設備上。”

　　DevilsTongue的使用在少數幾個國家受到限制，包括中國、伊朗、以色列、俄羅斯和美國。然而，其中顯然也存在漏洞。

　　Citizen Lab的研究人員說：“微軟在伊朗觀察到了Candiru的受害者，這表明在某些情況下，Candiru的產品確實在受限制的地區運行。此外，本報告中披露的目標基礎設施包括偽裝成俄羅斯郵政服務的域名。”

　　0 day漏洞利用

　　該間諜軟件利用了Windows中的兩個特權提升安全漏洞CVE-2021-31979和CVE-2021-33771，這兩個漏洞都在本周微軟的7月補丁星期二更新中得到了解決。微軟指出，這些攻擊是通過“影響流行瀏覽器和我們的Windows操作系統的一系列漏洞利用”進行的。

　　微軟表示，這兩個漏洞都使攻擊者能夠逃脫瀏覽器沙箱并獲得內核代碼執行權：

　　?CVE-2021-31979：基于Windows NT的操作系統（NTOS）中的整數溢出。“這種溢出導致計算出的緩沖區大小不正確，然后將其用于在內核池中分配緩沖區。在將內存復制到小于預期的目標緩沖區時，隨后會發生緩沖區溢出。可利用此漏洞破壞相鄰內存分配中的對象。使用來自用戶模式的API，內核池內存布局可以通過受控分配進行整理，從而將對象放置在相鄰的內存位置。一旦被緩沖區溢出損壞，這個對象就可以變成用戶模式到內核模式的讀/寫原語。有了這些原語，攻擊者就可以提升他們的特權。”

　　?CVE-2021-33771：NTO中的一種競爭條件，導致內核對象被釋放后再次被使用。微軟解釋說：“通過使用多個競爭線程，可以釋放內核對象，并由可控對象回收釋放的內存。”“與之前的漏洞一樣，可以使用用戶模式API向內核池內存噴灑分配。如果成功，可控對象可用于形成用戶模式到內核模式的讀/寫原語并提升權限。”

　　微軟表示除了修補之外，為了減輕攻擊，它還“在我們的產品中內置了針對Sourgum創建的惡意軟件保護措施”。

　　“這些攻擊主要針對消費者賬戶，表明Sourgum的客戶正在追求特定的個人，我們本周發布的保護措施將阻止Sourgum的工具在已被感染的計算機上運行，并防止在更新的計算機、運行Microsoft Defender Antivirus的計算機以及使用Microsoft Defender for Endpoint的計算機上發生新的感染。”

　　此次用于政府監控的網絡攻擊工具包的私人經紀公司在網絡上被公開，主要歸功于另一家以色列公司NSO Group，該公司創建了Pegasus間諜軟件，使客戶能夠遠程利用和監控移動設備。NSO Group長期以來堅持認為，其工具包旨在成為政府打擊犯罪和恐怖活動的工具，并且不會和任何政府濫用它。然而，批評人士表示，專制政府將其用于更邪惡的目的，以追蹤持不同政見者、記者和其他公民社會成員——而NSO集團則為他們提供幫助。去年12月，Pegasus在iPhone的Apple iMessage功能中添加了一個0day漏洞。