Die Herausforderung: Spyware von Candiru wurde verwendet, um sich als Websites bekannter Interessenvertretungsorganisationen auszugeben und Aktivisten und Menschenrechtsaktivisten ins Visier zu nehmen. Citizen Lab, ein Forschungsinstitut an der Universität von Toronto, nutzte die Daten vonCensys , um die nachgeahmten Websites zu verstehen, und leitete die Details an das Microsoft Threat Intelligence Center (MSTIC) weiter, um Exploits zu finden.
Was das Citizen Lab mit Hilfe von Censys
1.) Citizen Lab kartiert die C2-Infrastruktur von Candiru
Citizen Lab identifizierte ein Zertifikat für candirusecurity.com, das es ihnen ermöglichte, IP-Adressen zu identifizieren, die in der Vergangenheit mit Candiru in Verbindung gebracht wurden, und schließlich einen Fingerabdruck zu entwickeln, um die Websites zu finden, die Candiru zu imitieren versuchte.
2.) Das Microsoft Threat Intelligence Center (MSTIC) hat zwei Schwachstellen bei der Rechteerweiterung festgestellt
Citizen Lab stellte eine Signatur zur Verfügung, die es Microsoft ermöglichte, zwei bisher unbekannte Schwachstellen für die Ausweitung von Privilegien zu identifizieren, die von der Candiru-Malware ausgenutzt wurden: CVE-2021-31979 und CVE-2021- 33771, sowie mehr als 100 weitere Menschenrechtsverteidiger, Journalisten, Aktivisten und Politiker zu identifizieren, die von Candirus Spyware angegriffen wurden.
Citizen Lab startet eine Untersuchung zu Candiru
Citizen Lab konzentriert sich auf Forschung, Politik und Interessenvertretung an der Schnittstelle von Menschenrechten und Informationstechnologie. Ein einzigartiger Aspekt ihres Auftrags ist die Untersuchung technischer Praktiken, mit denen Aktivisten und Journalisten ins Visier genommen werden. Bill Marczak, Senior Research Fellow bei Citizen Lab, hat zusammen mit anderen Forschern zahlreiche Angriffe auf Censys aufgedeckt und enträtselt, darunter auch den allerersten iPhone-Zero-Day-Jailbreak, der in freier Wildbahn beobachtet wurde. Zuletzt untersuchte Citizen Lab Candiru. Zusammen mit anderen Forschern von Citizen Lab beschloss Bill, eine formelle Untersuchung durchzuführen und einen detaillierten Bericht über die Praktiken des Unternehmens zu veröffentlichen, der von der New York Times und anderen Nachrichtenorganisationen aufgegriffen wurde.
Was genau ist Candiru?
Candiru ist ein privatwirtschaftlicher Angriffsakteur, der dafür bekannt ist, Malware an Regierungen zu verkaufen. Ihr Hauptprodukt ist Spyware, die über eine Reihe von Infektionsvektoren auf den Apple-, Windows- oder Android-Geräten der Zielpersonen installiert werden kann. Candiru behauptet, dass seine Produkte "unauffindbar" sind, was das Auffinden von Domänen, Zertifikaten und anderen C&C-Infrastrukturen, die mit seiner Software verbunden sind, besonders schwierig macht. In den letzten Jahren hat die Spyware von Candiru internationale Aufmerksamkeit auf sich gezogen, da sie aktiv gegen Menschenrechtsaktivisten, Journalisten und politische Aktivisten eingesetzt wird.
Das Ziel von Citizen Lab Bedrohungsabwehr
Citizen Lab nutzte den Censys Universal Internet DataSet, der Details zu IPv4-Hosts und -Diensten enthält, sowie den Censys' Zertifikatsdatensatz, um die Befehls- und Kontrollinfrastruktur (C&C) von Candiru abzubilden und die Websites zu verstehen, auf die die Spyware von Candiru abzielte. Auf diese Weise konnten sie schließlich aufdecken, dass Candiru es aktiv auf Mitglieder der Zivilgesellschaft, der Wissenschaft und der Medien abgesehen hatte.
"Wir waren neugierig auf die Kartierung der Befehls- und Kontrollinfrastruktur - IPs, Domänen, Zertifikate - mit dem letztendlichen Ziel, Candirus globalen Fußabdruck zu verstehen". - Bill Marczak, Senior Research Fellow, Citizen Lab
Wie Censys Daten und Search genutzt wurden, um die Auswirkungen von Candiru zu verstehen
Welche Zertifikate sind mit dem Domänennamen candirusecurity[.]com verbunden?
Citizen Lab fand ein selbstsigniertes Zertifikat auf Censys Search das mit Candiru verbunden war. Das Team wusste, dass es nach einer bestimmten Domain suchen musste: "candirusecurity[.]com", weil sie eine Unternehmensregistrierung aus dem Jahr 2015 gefunden hatten, die mit Candiru verbunden war. Die Registrierung enthielt eine E-Mail mit der gleichen Domain: "amitn@candirusecurity[.]com". Dieser Zertifikatsfund war von Bedeutung, da er es dem Team ermöglichte, mit Hilfe des historischen Censys IPv4-Datensatzes andere Angreifer-Infrastrukturen aufzudecken.
Welche IPs wurden für das Zertifikat verwendet, und was sagt das über die Ziele, ihre geografische Lage und die Methoden von Candiru aus?
Citizen Lab hat den Censys IPv4-Datensatz abgefragt, um die IP-Adressen zu finden, die das Zertifikat bereitstellen und möglicherweise mit Candiru verbunden sind. Das Team iterierte zwischen IPv4-Hosts und Zertifikaten und fand schließlich Zertifikate für über 750 Websites, die sich als Candiru-Spyware-Infrastruktur ausgaben. Darunter befanden sich Websites, die bekannten Organisationen wie amnestyreports[.]com und Aktivistenorganisationen wie blacklivesmatters[.]info gehören. Andere, weniger bekannte Websites waren länderspezifisch und mit Saudi-Arabien, Russland und Armenien verbunden. Sie gaben Hinweise darauf, wo sich die Zielpersonen befinden könnten und welche Methoden derzeit angewandt werden, um sie zu fangen.
Citizen Lab konnte über Censys auch eine IP-Adresse ausfindig machen, die zu einem Opfer der Spyware gehörte. Bill Marczak von Citizen Lab erklärte: "Die Daten vonCensys waren ein wichtiger Teil der Untersuchung, da sie uns halfen, das Opfer zu finden und die Spyware-Probe wiederherzustellen."
Durch diese Forschung konnte Citizen Lab Proben an Microsoft weitergeben, die es dem Microsoft Threat Intelligence Center (MSTIC) ermöglichten, diese IoCs zu nutzen und die Exploits zu finden: CVE-2021-31979 und CVE2021-33771, sowie 100 Opfer von Spyware in vielen Ländern.
Warum hat sich Citizen Lab für Censys entschieden?
"Censys strukturiert Internetdaten auf eine Weise, die leicht zu verstehen und abzufragen ist. Ohne Abfragen mit regulären Ausdrücken und die Möglichkeit, bestimmte Felder abzufragen, wären wir nicht in der Lage gewesen, andere Hosts zu entwickeln oder zu suchen, die unserer Signatur entsprechen." - Bill Marczak, Senior Research Fellow, Citizen Lab
- BigQuery, Search, und Rohdatenzugriff
Censys bietet Zugang zu Hunderten von Terabytes historischer Internet-Scandaten über eine Online-Suchschnittstelle, eine Hochgeschwindigkeits-API, Google BigQuery-Datensätze und Rohdaten-Downloads.
- Skalierbare, differenzierte Daten zu Hosts und Zertifikaten
Censys hat die größte Abdeckung sowohl von IPv4-Hosts als auch von Zertifikaten. Censys bietet einen Datensatz von 9,5 Milliarden geparsten und von Browsern validierten X.509-Zertifikaten zusätzlich zu detaillierten Aufzeichnungen über IPv4-Hosts und ihre Dienstkonfiguration, die mehr als 6 Jahre zurückreichen.
- Geschwindigkeit und Genauigkeit
Censys liefert die aktuellsten Daten durch kontinuierliches Scannen der 3.500 wichtigsten Ports im gesamten IPv4-Adressraum und tägliches Scannen der 138 wichtigsten Ports.
In der vollständigen Fallstudie sehen Sie, wie Citizen Lab die Befehls- und Kontrollinfrastruktur von Candiru abgebildet hat.
Fallstudie ansehen