El problema: Se utilizó un programa espía de Candiru para suplantar sitios de conocidas organizaciones de defensa de los derechos humanos y atacar a activistas y defensores de los derechos humanos. Citizen Lab, un instituto de investigación de la Universidad de Toronto, utilizó los datos deCensys para comprender los sitios suplantados, transmitiendo los detalles al Centro de Inteligencia de Amenazas de Microsoft (MSTIC) para encontrar exploits.
Lo que Citizen Lab consiguió con la ayuda de Censys
1.) Citizen Lab cartografió la infraestructura C2 de Candiru
Citizen Lab identificó un certificado para candirusecurity.com, lo que les permitió identificar direcciones IP asociadas históricamente con Candiru y, en última instancia, desarrollar una huella digital para encontrar los sitios web que Candiru intentaba suplantar.
2.) El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) identificó dos vulnerabilidades de escalada de privilegios
Citizen Lab compartió una firma que permitió a Microsoft identificar dos vulnerabilidades de escalada de privilegios no reveladas previamente y explotadas por el malware Candiru: CVE-2021-31979 y CVE-2021- 33771, así como identificar a más de otros 100 defensores de los derechos humanos, periodistas, activistas y políticos que fueron objetivo del spyware Candiru.
Citizen Lab inicia una investigación sobre Candiru
Citizen Lab se centra en la investigación, la política y la defensa en la intersección de los derechos humanos y la tecnología de la información. Un aspecto singular de su misión es investigar las prácticas técnicas utilizadas para atacar a activistas y periodistas. Bill Marczak, investigador principal de Citizen Lab, junto con otros investigadores, ha descubierto y desentrañado numerosos ataques mediante Censys, incluido el primer jailbreak remoto de día cero para iPhone visto en la naturaleza. Más recientemente, Citizen Lab investigó Candiru. Junto con otros investigadores de Citizen Lab, Bill decidió llevar a cabo una investigación formal, publicando un informe detallado sobre las prácticas de la empresa que fue recogido por The New York Times y otras organizaciones de noticias.
¿Qué es exactamente Candiru?
Candiru es un actor ofensivo del sector privado conocido por vender malware a gobiernos. Su principal producto es un programa espía que puede instalarse a través de varios vectores de infección en un dispositivo Apple, Windows o Android. Candiru afirma que sus productos son "irrastreables", lo que dificulta especialmente la localización de dominios, certificados y otras infraestructuras de C&C asociadas a su software. En los últimos años, el spyware Candiru ha atraído la atención internacional debido a su uso activo contra defensores de los derechos humanos, periodistas y activistas políticos.
Objetivo de caza de amenazas de Citizen Lab
Citizen Lab utilizó el Censys Universal Internet DataSet, que detalla hosts y servicios IPv4, así como el Censys' certificate dataset, para cartografiar la infraestructura de mando y control (C&C) de Candiru y comprender los sitios web que el spyware de Candiru ha utilizado como objetivo. Esto les permitió descubrir que Candiru estaba atacando activamente a miembros de la sociedad civil, el mundo académico y los medios de comunicación.
"Teníamos curiosidad por cartografiar la infraestructura de mando y control -IPs, dominios, certificados- con el objetivo último de comprender la huella global de Candiru". - Bill Marczak, investigador principal, Citizen Lab
Cómo se utilizó Censys Data and Search para comprender el impacto de Candiru.
¿Qué certificados están asociados al nombre de dominio candirusecurity[.]com?
Citizen Lab encontró un certificado autofirmado en Censys Search que estaba asociado a Candiru. Su equipo sabía que debía buscar un dominio específico: "candirusecurity[.]com" porque habían encontrado un registro corporativo de 2015 asociado a Candiru. El registro incluía un correo electrónico con el mismo dominio: "amitn@candirusecurity[.]com". Este hallazgo del certificado fue significativo porque permitió al equipo pivotar y descubrir otra infraestructura de atacantes utilizando el conjunto de datos históricos Censys IPv4.
¿Qué IP servían el certificado y qué indicaba esto sobre los objetivos, sus geografías y los métodos de Candiru?
Citizen Lab consultó el conjunto de datos IPv4 de Censys para localizar las direcciones IP que servían el certificado y estaban potencialmente afiliadas a Candiru. El equipo iteró entre hosts IPv4 y certificados, y finalmente encontró certificados de más de 750 sitios web que la infraestructura del programa espía Candiru estaba suplantando. Entre ellos se encontraban sitios pertenecientes a conocidas organizaciones de defensa como amnestyreports[.]com y organizaciones activistas como blacklivesmatters[.]info. Otros sitios menos conocidos eran específicos de un país y estaban vinculados a Arabia Saudí, Rusia y Armenia. Estos sitios proporcionaban pistas sobre dónde podían encontrarse los objetivos y los métodos utilizados actualmente para tenderles trampas.
Citizen Lab también pudo encontrar una dirección IP a través de Censys que pertenecía a una víctima del programa espía. Bill Marczak, de Citizen Lab, declaró: "Los datos deCensys fueron una parte fundamental de la investigación porque nos ayudaron a encontrar a la víctima y a recuperar la muestra de spyware."
A través de esta investigación, Citizen Lab fue capaz de pasar muestras a Microsoft que permitieron al Centro de Inteligencia de Amenazas de Microsoft (MSTIC) pivotar sobre estos IoC y encontrar los exploits: CVE-2021-31979 y CVE2021-33771, así como 100 víctimas del spyware en muchos países.
¿Por qué ha elegido Citizen Lab Censys?
"Censys estructura los datos de Internet de una forma fácil de entender y consultar. Sin las consultas de expresiones regulares y la posibilidad de consultar campos específicos, no habríamos podido desarrollar ni buscar otros hosts que coincidieran con nuestra firma." - Bill Marczak, investigador principal, Citizen Lab
- BigQuery, búsqueda y acceso a datos sin procesar
Censys proporciona acceso a cientos de terabytes de datos históricos de exploración de Internet a través de una interfaz de búsqueda en línea, una API de búsqueda de alta velocidad, conjuntos de datos de Google BigQuery y descargas de datos sin procesar.
- Datos escalables y diferenciados sobre hosts y certificados
Censys tiene la cobertura más amplia tanto de hosts IPv4 como de certificados. Censys ofrece un conjunto de datos de 9.500 millones de certificados X.509 analizados y validados por navegadores, además de registros detallados sobre hosts IPv4 y su configuración de servicios que se remontan a hace más de 6 años.
Censys proporciona los datos más recientes mediante el escaneado continuo de los 3.500 puertos principales en todo el espacio de direcciones IPv4 y el escaneado diario de los 138 puertos principales.
Consulte el estudio de caso completo para ver cómo Citizen Lab cartografió la infraestructura de mando y control de Candiru.
Ver caso práctico