Citizen Lab ร่วมมือกับไมโครซอฟท์วิเคราะห์มัลแวร์จากบริษัท Candiru ในอิสราเอล โดยไมโครซอฟท์เรียกกลุ่มมัลแวร์นี้ว่า SOURGUM ให้บริการมัลแวร์ DevilsTongue ในรูปแบบ hacking-as-a-service แก่รัฐบาลทั่วโลก

ไมโครซอฟท์พบว่าเหยื่อของมัลแวร์ DevilsTongue กระจุกตัวอยู่ในแถบปาเลสไตน์ประมาณครึ่งหนึ่ง ที่เหลืออยู่ใน อิสราเอล, อิหร่าน, เลบานอน, เยเมน, สเปน, สหราชอาณาจักร, ตุรกี, อาร์เมเนียร์, และสิงคโปร์ โดยไม่แน่ชัดว่าผู้ว่าจ้างให้โจมตีมาจากชาติใดบ้าง

Citizen Lab หาข้อมูลของ Candiru จากเอกสารหลุดและคำฟ้องในคดีที่เคยมี พบว่าบริษัททำงานคล้ายบริษัทรับแฮกอื่นๆ เช่น NSO Group โดยลูกค้าต้องจ่ายเงินค่าแรกเข้าเพื่อใช้งานบริการแฮก คิดเป็นเงิน 16 ล้านยูโรหรือประมาณ 620 ล้านบาท และจะแฮกคอมพิวเตอร์ได้ไม่จำกัดจำนวน แต่จะมอนิเตอร์การทำงานของอุปกรณ์ที่เป็นเหยื่อได้พร้อมกันเพียง 10 อุปกรณ์เท่านั้น หากต้องการใช้งานเพิ่มต้องซื้อไลเซนส์เพิ่ม 15 อุปกรณ์และจะโจมตีเหยื่อเพิ่มขึ้นได้อีกหนึ่งชาติ หากจ่ายเพิ่ม 5.5 ล้านยูโรจะมอนิเตอร์อุปกรณ์ได้อีก 25 ตัวและโจมตีเหยื่อเพิ่มได้อีก 5 ชาติ

ตัวมัลแวร์สามารถดึงข้อมูลออกจาก Gmail, Skype, Facebook สามารถดึงประวัติการเข้าเว็บและรหัสผ่าน รวมถึงสามารถบันทึกภาพจากเว็บแคม, เสียงจากไมโครโฟน, และภาพหน้าจอ สามารถจ่ายเพิ่มเพื่อมอนิเตอร์ทวิตเตอร์, Viber, และ Signal ได้

ทาง Citizen Lab พบมัลแวร์จากนักกิจกรรมทางการเมืองในยุโรป และขอสำเนาอิมเมจของฮาร์ดดิสก์ออกมาได้ ทำให้ได้ตัวอย่างมัลแวร์ ทางไมโครซอฟท์วิเคราะห์มัลแวร์พบว่าใช้ช่องโหว่ที่ไม่เคยมีการรายงานมาก่อนสองรายการ ได้แก่ CVE-2021-31979 และ CVE-2021-33771 ที่เปิดทางให้โค้ดเจาะทะลุ sandbox ของเบราว์เซอร์และเพิ่มสิทธิจนทำงานในระดับเคอร์เนลได้ ช่องโหว่ทั้งสองตัวแพตช์ในรอบเดือนกรกฎาคมเรียบร้อยแล้ว

ตัวมัลแวร์ DevilsTongue มีการออกแบบเป็นโมดูล มีความสามารถพื้นฐานในตัว เช่นการดึง cookie จากเบราว์เซอร์ (รองรับทั้ง Chrome, Chromium, Edge, UCBrowser, Yandex, Firefox, Opera) และยังมีความสามารถใช้ cookie กับบริการเช่น Facebook, Twitter, Gmail, Yahoo เพื่อดึงข้อความจากบริการเหล่านี้ออกมาตรงๆ รวมถึงส่งข้อความโดยสวมรอยบัญชีเหยื่อ

ที่มา - Citizen Lab , Microsoft

ภาพโดย iAmMrRob