Onderzoekers vinden gelekte chats van zeroday-aanbieders

[Captain Kirk]

Onderzoekers van securitybedrijf Lookout hebben chatgesprekken gevonden tussen een niet nader genoemde inlichtingendienst en aanbieders van zeroday-exploits voor Android, iOS, Internet Explorer, Edge en Adobe Flash Player. Eén van de medewerkers van de inlichtingendienst testte de malware op zijn eigen telefoon, waardoor WhatsApp-gegevens naar een server werden geüpload waar de onderzoekers die vonden.

De WhatsApp-berichten bleken allerlei gesprekken te bevatten tussen de dienst en aanbieders van zeroday-exploits voor onbekende kwetsbaarheden in iOS, Android, Flash Player en Edge/IE. Zo claimden de aanbieders over een persistente root-exploit voor iOS 10 te beschikken die geen click van de gebruiker vereist. De aanval zou via een kwaadaardig iMessage-bericht kunnen worden uitgevoerd.

Ook wordt er een zeroday-exploit aangeboden die misbruik maakt van een kwetsbaarheid in de Android Mediaserver en werkt tegen Android 4.4.4 tot en met 7.1. De exploit kan via MMS worden verstuurd en is te gebruiken tegen toestellen van HTC, Samsung, ASUS, Motorola, Xiaomi, LG, Sony en Huawei. De exploit zou tussen de 6 en 15 seconden voor het uitvoeren nodig hebben.

Eén van de aanbieders is de NSO Group, die in het verleden vaker wegens de verkoop van zeroday-exploits in het nieuws is gekomen. Het bedrijf claimt over een exploit te beschikken die via SMS kan worden uitgevoerd. De exploit start de standaard browser van het slachtoffer en downloadt vervolgens een Trojaans paard. Diensten die de aanval inzetten wordt aangeraden dit 's nachts te doen, aangezien de browser van de gebruiker enige seconden wordt geopend.

Onderzoekers Andrew Blaich en Michael Flossman van securitybedrijf Lookout presenteerden hun bevindingen tijdens de Shmoocon-conferentie. Ze stellen dat de dienst zeer effectief was in het ontwikkelen van een cybersurveillanceprogramma, aangezien er naar schatting 50GB aan gestolen data werd gevonden. "Deze actor maakte verschillende operationele securityfouten waardoor hij werd ontdekt en we langere tijd inzicht in zijn operaties kregen." De naam van de inlichtingendienst is nog niet bekendgemaakt, maar de onderzoekers hebben wel een vervolg op hun onderzoek aangekondigd.

 

 

bron: security.nl