摘要卡巴斯基在今年早些时候的一份报告中提到,BitterAPT组织了针对中国和巴基斯坦政府及电信实体的网络间谍活动。2020年的活动从2021年6月开始,一直持续到2021年4月。该活动中使用的两个零日漏洞利用来自一家名为Moses的黑客技术提供商,该公司是位于德克萨斯州奥斯汀的一家名为ExodusIntelligence的公司的幕后黑手。该公司的客户之一是印度的BitterAPT组织。该公司向印度提供了零日漏洞研究数据。印度将其武器化并应用于网络间谍攻击。在发现印度不正当地使用其技术后,出埃及记断绝了业务往来。此外,Exodus的零日漏洞信息似乎在印度被泄露或滥用。卡巴斯基表示,除了已被披露和利用的两个零日漏洞外,过去两年至少有六个由摩西创建的漏洞被攻破。滥用,例如,DarkHotel组利用了Moses的零日漏洞。其中一个0-Day漏洞(CVE-2021-1732)是安衡在一次野外攻击中捕获的。美国公司ExodusIntelligence的攻击技术被印度政府滥用今年早些时候,俄罗斯卡巴斯基网络安全公司的研究人员分析了针对中国和巴基斯坦政府和电信实体的MicrosoftWindowsPC的网络间谍活动。该活动从2020年6月持续到2021年4月。引起研究人员注意的是BitterAPT组织在间谍活动中使用的黑客软件。它的恶意代码在各个方面都与卡巴斯基反病毒提供商之前的报告中披露的一些代码相似,并被归因于一家名为“Moses”的公司。卡巴斯基表示,摩西是一个神秘的黑客技术提供商,被称为“零日攻击经纪人”。这些公司在1300亿美元的网络安全行业中经营着一个利基市场,为客户提供软件“利用”(也称为“0-day”),允许攻击者破解具有未修补漏洞的计算机,这些漏洞就像超级强大的开锁器一样。这些技术人员寻找操作系统或应用程序中可能允许黑客或间谍侵入目标的漏洞。这些漏洞极为罕见,单个漏洞可以赚取超过200万美元的漏洞赏金。使用这些零日漏洞的买家可以保护自己免受相关零日漏洞的侵害,或者利用该漏洞对他人造成伤害。例如,在2020年针对SolarWinds软件提供商及其许多客户(从美国政府机构到思科和微软等科技巨头)的攻击中,攻击者至少使用了一个零日漏洞。这次攻击让SolarWinds损失了至少1800万美元,如果算上同样受到攻击的SolarWinds客户的成本,总的数字可能高达数百亿美元。有时,美国公司不是受害者,而是推动数字间谍活动盛行的推动者。据两位了解卡巴斯基研究的消息人士透露,福布斯获悉摩西的公司被确定为总部位于德克萨斯州奥斯汀的ExodusIntelligence公司。一位消息人士补充说,摩西的客户之一是总部位于印度的BitterAPT组织。在网络安全和情报领域之外鲜为人知的是,Exodus在过去十年中因《时代》杂志封面故事和执法部门用来破解匿名浏览器Tor以引诱对儿童实施性犯罪的人而出名。声名鹊起。它还声称与国防部研究机构Darpa建立了合作伙伴关系,Darpa是一家价值26亿美元(2020年销售额)的网络安全机构,以及思科和Fortinet等主要科技公司。当五眼国家(包括美国、英国、加拿大、澳大利亚和新西兰在内的国家的情报共享联盟)或其盟友询问时,Exodus将提供有关零日漏洞的信息以及利用这些漏洞所需的软件。该公司的主要产品是提供有关零日漏洞的信息,可以由客户定制,每年高达250,000美元。客户可以利用Exodus提供的零日漏洞信息,这些信息通常涵盖所有流行的操作系统,从Windows到谷歌的Android和苹果的iOS系统。37岁的Exodus首席执行官兼联合创始人洛根·布朗(LoganBrown)表示,印度购买了该产品,并可能将其武器化。他告诉福布斯,他认为印度精心挑选了一个Windows漏洞,该漏洞允许深入访问微软的操作系统,并将其改编为印度政府人员或承包商的恶意目的。Exodus随后于4月停止了印度购买其新的零日研究,并与微软合作修补漏洞,Brown说。虽然Exodus没有限制客户使用其研究,但布朗表示印度使用他公司的零日研究是不合时宜的,并补充说:“你可以用它来攻击人,但你不能用它作为攻击的工具巴基斯坦和中国。”(印度驻伦敦大使馆没有回应置评请求。)该公司还研究了卡巴斯基归因于摩西的第二个漏洞,另一个漏洞允许黑客获得对Windows计算机的更多访问权限。高权限漏洞。它与任何特定的间谍活动无关,但布朗证实该漏洞来自他们公司的研究。布朗目前还在调查他的代码是否被泄露或被他人滥用。据卡巴斯基称,除了已经被滥用的两个??零日漏洞外,过去两年至少有六个由摩西公司创建的漏洞被滥用。根据卡巴斯基的说法,另一个名为DarkHotel的黑客组织(一些研究人员认为该组织由韩国赞助)使用了Moses的零日漏洞,尽管韩国不是Exodus的客户。布朗说:“我们非常确定印度泄露了我们的一些研究成果,我们已经切断了印度的业务,此后就再也没有收到过任何消息。”任何此类零日泄漏都特别令人不安。有人担心该公司试图每年控制大约50个零日漏洞,这些漏洞涵盖全球最流行的操作系统,从Windows到Android再到Apple的iOS。布朗并不是唯一一个看到他的研究以他不希望的方式被使用的人。意大利零日漏洞利用程序开发人员LucaTodesco去年在看到黑客利用iPhone漏洞监视敏感人群(一些人受到威胁)后发布了“我从工作中看到的最糟糕的结果”。在谷歌研究人员详细介绍了一次iPhone黑客攻击活动后,托德斯科意识到这家科技巨头详细介绍的其中一项技术看起来很像他开发并与联系人分享的技术。在Twitter上发布的一条消息中,托德斯科否认他出售了攻击中使用的任何代码,但表示他已与多个身份不明的人公开分享他的发现。他声称他不知道他的代码如何或为何被用来攻击敏感人群,并补充说:“如果我知道,我会避免分享它。他将继续在他与他人共同创立的意大利新公司DataflowSecurity开发漏洞利用程序。(AaronPortnoy,ExodusIntelligence的前联合创始人,现在正在研究更多的防御技术。他之前的公司现在正在调查其黑客工具是否已经泄露)Exodus联合创始人AaronPortnoy最担心这种情况的发生。Portnoy花了十年时间开发可以绕过世界上最大的公司(苹果、谷歌、微软)的安全黑客软件。当Portnoy于2015年离开Exodus时,他继续为国防巨头雷神公司和一家位于圣地亚哥的“电子战”初创公司工作。但是今天,这位36岁的自学黑客从西北大学的黑客专业退学,开始了他的网络安全职业生涯,他担心自己永远不会知道谁可以访问他的代码或他们如何使用它。他现在后悔将零日攻击的控制权交给了销售人员。AaronPortnoy说:“我觉得我被利用了,就像我是一个被用于更大目的的工具,我缺乏洞察力。今天,Portnoy在马萨诸塞州的Randori网络安全公司工作。Moussouris说Exodus是正确的切断在印度的业务,买家有更多责任防止虐待。布朗说,在Exodus的黑客技术被曝光后,他不得不切断与法国警察局的关系,该技术用于针对对儿童犯下罪行的人。布朗补充说:“任何时候我们的数据暴露给公众,尤其是被恶意行为者暴露,都是违反合同的行为。”Exodus的负责人表示,该公司在十年内仅与两家客户断绝业务关系的记录令人印象深刻。在审查客户时对Exodus的流程感到满意,并补充说:“如果公司与沙特人合作,我就不会进入th完全没有公司。“(关于iPhone攻击和NSOGroup软件针对世界各地的活动家、记者和政治家的相关指控,导致人们对跨境电话和PC监控的认识和警惕性??提高)布朗的公司知道它的零日软件可以被用于攻击,因此可以选择不将其出售给印度政府,这个国家最近被指控滥用以色列NSO集团制造的间谍软件。今年早些时候,一个名为ProjectPegasus的报纸和非营利组织联盟声称反对派的电话印度国大党领袖拉胡尔·甘地和他的一些亲信受到监视,导致对总理纳伦德拉·莫迪的政府提出叛国罪指控。(政府否认有任何未经授权使用间谍软件的案例。)2019年,Facebook旗下的WhatsApp称印度记者和活动人士被被NSO的iPhone监控软件盯上。JohnScott,多伦多大学Mu公民实验室高级研究员nkSchool的首席执行官JohnScott-Railton说:“向印度政府出售可能用于攻击目的的技术会让你陷入可能助长这种滥用行为的境地。”同样,托德斯科可以选择将他的发现保密而不是与联系人分享。今年早些时候,微软总裁布拉德·史密斯就全球间谍软件行业带来的危险发出了警告,并点名批评了NSO。他说,行业供应商正在将更多的攻击能力交给民族国家攻击者,并助长网络攻击扩散到其他有钱但没有资源制造自己武器的政府。随着印度特意使用此类武器,技术现状发现人们担心美国人正在让事情变得更糟。《福布斯》今年早些时候透露,总部位于波士顿的风险投资公司Battery曾悄悄帮助NSO的竞争对手ParagonInc。为阿联酋从事间谍活动的阿联酋承包商。iOS漏洞被用于数百个目标,包括卡塔尔的埃米尔和也门的诺贝尔和平奖人权活动家。Scott-Railton补充说,我们需要了解美国在私人进攻市场中扮演的角色。美国政府渴望黑客技术。布朗说,在一些案件发生后,联邦调查局联系了Exodus,称它希望为家用摄像头等设备提供更好的“监控能力”。Brown补充说,随着今年夏天COVID后重新开放,许多机构工作人员返回办公室,需求激增,尤其是对智能手机监控工具的需求。
