Microsoft ha descobert com una empresa privada anomenada SOURGUM ha estat explotant vulnerabilitats de Windows per espiar Governs de tot el món.
Les vulnerabilitats explotades són CVE-2021-21979 i CVE-2021-22771, les quals ja han estat solucionades amb les actualitzacions de seguretat de juliol del 2021. Aquestes vulnerabilitats permetien una escalada de privilegis, donant a un atacant la possibilitat d'executar codi maliciós.
L'espionatge selectiu ha afectat unes 100 persones segons Microsoft. En aquesta llista de polítics, periodistes, dissidents, activistes i ambaixadors afectats pel "malware", La meitat són de Palestina i la resta d'Israel, Iran, Líban, Iemen, Regne Unit, Turquia, Armènia i Singapur. En aquesta llista també, apareixen persones d'Espanya, on s'especifica entre parèntesis Catalunya.
SOURGUM, coneguda també com CANDIRU, permet entrar de forma il·lícita en telèfons mòbils, ordinadors, tauletes, dispositius connectats a Internet, espais d'emmagatzematge al núvol i tecnologies similars.
CANDIRU que es va fundar el 2014, sempre ha estat oculta davant la llei. Aquest tipus d'indústria sempre ha estada envoltada de molt secretisme. Són empreses que es dediquen a trobar errors i vulnerabilitats informàtiques. Candiru sempre ha amagat les seves operacions, la seva infraestructura i la identitat dels seus treballadors. Per a això s'ha canviat el nom diverses vegades. El més recent ha estat Saito Tech Inc, però en el sector es la segueix coneixent pel nom original, candirú.
Per evitar el compromís dels exploits del navegador, es recomana utilitzar un entorn aïllat, Com una màquina virtual, a l'obrir enllaços de parts que no siguin de confiança. L'ús d'una versió moderna de Windows 10 amb proteccions basades en la virtualització, Com Credential Guard, evita les capacitats de robatori de credencials LSASS de DevilsTongue. Habilitar la regla de reducció de la superfície d'atac "Bloqueja l'abús de controladors signats vulnerables explotats» en Microsoft Defensar per Endpoint bloqueja el controlador que fa servir DevilsTongue. La protecció de xarxa bloqueja els dominis SOURGUM coneguts.
Avui dia, l'espionatge és un negoci en constant creixement. Des del SOC d'Infordisa recomanem extremar les precaucions i recordar les mesures de seguretat habituals com tenir sempre tot el programari actualitzat, verificar la autenticitat de les pagines visitades i utilitzar connexions WIFI a Internet fiables, entre d'altres. I com sempre, davant de qualsevol dubte, contacta amb nosaltres al 977 600 321 oa soporte@infordisa.com
