الباحثون يعثرون على مآثر غير معروفة من قبل بين الملفات التي تم تسريبها من فريق Hacking

الباحثون يقومون بالبحث من خلال 400 جيجابايت من البيانات التي تسربت مؤخرًا من شركة Hacking Team ، وهي شركة إيطالية تبيع برامج مراقبة كمبيوتر إلى وكالات حكومية من جميع أنحاء العالم ، وجدت بالفعل استغلالًا لضعف غير مضطرب في Flash Player.

هناك أيضًا تقارير عن مآثر لـ الثغرة الأمنية في Windows وواحدة في SELinux ، وهي وحدة أمان لنواة لينكس تعمل على فرض سياسات التحكم في الوصول. كان من المفترض أن يستخدم عملاء الشركة هذه العيوب لنشر برامجها على أجهزة الكمبيوتر التي تنتمي إلى أهداف المراقبة.

تم دمج فريق Hacking Team كـ HT في ميلانو ويطور برنامج مراقبة كمبيوتر يسمى نظام التحكم عن بعد (RCS) أو Galileo. ويباع النظام إلى أجهزة إنفاذ القانون والوكالات الحكومية الأخرى من جميع أنحاء العالم ، إلى جانب الوصول إلى أدوات اقتحام الكمبيوتر اللازمة لنشرها.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows لديك

الأخبار اندلعت أن Hacking Team قد تعرضت شبكتنا للخطر يوم الأحد ، عندما أطلق المخترق بيانات بقيمة 400GB سرقت من خوادم الشركة ، بما في ذلك اتصالات البريد الإلكتروني ، وكود المصدر ، وقوائم العملاء ، والفواتير ، والنسخ الاحتياطية المختلفة للخادم وأكثر

لدى الشركة اتهمت جماعات الخصوصية وحقوق الإنسان في الماضي ببيع برمجياتها إلى حكومات ذات سجل سيئ فيما يتعلق باحترام حقوق الإنسان التي استخدمتها للتجسس على الصحفيين والنشطاء السياسيين. تشير البيانات التي تم تسريبها حديثًا إلى أن عملاء الشركة يضمون وكالات حكومية من دول مثل أذربيجان والبحرين ومصر وإثيوبيا وكازاخستان والمغرب ونيجيريا وسلطنة عمان والسعودية والسودان.

تكتشف معظم منتجات مكافحة الفيروسات أن نظام فرعيّات RC Hacking Team هو برنامج ضار ، تقوم الشركة بتعديل البرنامج بشكل فعال للتهرب من مثل هذا الاكتشاف.

كان المجتمع الأمني ​​يومًا ميدانيًا يوم الاثنين يبحث في تفريغ بيانات 400 جيجابايت. وجدوا أشياء مثل كلمات المرور الضعيفة المخزنة في ملفات نصية. المولدات الرئيسية والأرقام التسلسلية للبرامج التجارية المقرصنة ؛ الكود المصدري لإصدارات RCS لنظام التشغيل Windows و Linux و Android و iOS و OS X وغير ذلك من الأنظمة الأساسية أو المستندات الداخلية التي تشرح خدمات الشركة وأسعارها.

والأهم من ذلك ، يدعي بعض الباحثين الأمنيين أنهم وجدوا مآثر لم تكن معروفة من قبل وغير مدرجة نقاط الضعف - هذه هي المعروفة باسم مآثر الصفر اليوم. لقد اشتبهوا في وجود مثل هذه المآثر بين الملفات لأنها مثالية لإصابة أجهزة الكمبيوتر الخاصة بالمستخدمين بـ RCS ولأن وثائق الشركة اقترحت ذلك.

على سبيل المثال ، يحتوي مستند واحد على تفاصيل حول خدمة يقوم فريق Hacking باستدعاء بوابة RCS Exploit Portal

"دمجت HackingTeam خبرتها في تصميم البرمجيات الهجومية والأمنية لبناء خدمة تجعل من السهل إعداد واستخدام المآثر كموجهات تركيب لوكلاء RCS" ، كما يقرأ المستند.

وفقاً للوثيقة ، تحتوي الخدمة على مآثر الهندسة الاجتماعية ، والمآثر العامة ، والمآثر الخاصة واستغلالات يوم الصفر ، وتلاحظ الشركة أن بوابة الاستغلال تحتوي دائمًا على ثلاث عمليات استغلال على مستوى الصفر على الأقل.

أحد عمليات الاستكشاف التي تم اكتشافها في يوم الصفر في تفريغ البيانات يؤثر على يمكن استخدام Flash Player لإصابة أجهزة الكمبيوتر عندما يزور مستخدموها مواقع الويب في Internet Explorer.

Carsten Eiram ، كبير موظفي الأبحاث في شركة مخاطرة الضعف د أمن ، اختبر الاستغلال وأكد أنه يعمل بشكل صحيح ضد الإصدار الأخير من Flash Player الذي يعمل تحت Internet Explorer 11 على نظام التشغيل Windows 7 32 بت.

"لم نتمكن من تشغيله على Win مصمّم بالكامل 8.1 Pro مع فلاش مثبت ، ولكن قد يتطلب الأمر بعض التغيير من أجل الحصول على آليات حماية إضافية ، "قال Eiram عبر البريد الإلكتروني.

أدوبي يدرك الاستغلال المبلّغ عنه ويتوقع إصدار تحديث لبرنامج Flash Player الأربعاء ، ممثل Adobe قال عبر البريد الإلكتروني.

كانت هناك أيضا تقارير على تويتر من باحثين أمنيين آخرين عن استغلال يوم الصفر في win32k.sys ، أحد مكونات ويندوز ، التي تم العثور عليها في بيانات فريق القرصنة.

وقال باحثون من شركة مكافحة الفيروسات تريند مايكرو في مدونة مشاركة أن تسربت تحتوي ملفات Team Hacking على مفاعلين لـ Flash Player ، أحدهما معروف بالفعل وتم إصلاحه ، وواحد لنواة Windows.

فريق Eiram يتطلع أيضًا إلى ميزة تصعيد جديدة لامتيازات Windows قد تكون هي نفسها ذكر في التقارير الأخرى ، لكنه لم يتمكن من التعليق بعد ذلك لأن المشكلة لم يتم التحقيق فيها بالكامل أو تأكيدها.

"نعتقد أن الخطر الإجمالي على العملاء محدود ، حيث أن هذه الثغرة لم تستطع ، من تلقاء نفسها ، وقال أحد ممثلي مايكروسوفت عبر البريد الإلكتروني: "السماح لخصم بالتحكم في الآلة". "نشجع العملاء على تطبيق تحديث Adobe والعمل على إصلاح لمعالجة هذه المشكلة."

أبلغ مستخدمون آخرون على Twitter و Reddit أن بيانات Hacking Team تحتوي أيضًا على استغلال لتجاوز إجراءات SELinux ، ولكن لم يتم ذلك بعد.

يأتي تسريب البيانات والاكتشافات من فريق القرصنة وسط تغييرات مقترحة في اتفاق دولي لتحديد الأسلحة يسمى اتفاق واسينار ، من شأنه أن يقيد تصدير المآثر وغيرها من برامج التسلل عبر الكمبيوتر.

هذه القصة كانت محدّثة في الساعة 9:25 صباحًا بتوقيت المحيط الهادئ مع تعليقات من Microsoft.