Forscher der Threat Analysis Group (TAG) von Google haben zwei separate, sehr zielgerichtete Kampagnen entdeckt, die verschiedene, ungepatchte Zero-Day-Exploits gegen Benutzer von iPhone- und Android-Smartphones einsetzen Spyware.
Die Entdeckungen – enthüllt in a blog post am 29. März – sind das Ergebnis der aktiven Verfolgung kommerzieller Spyware-Anbieter durch Google TAG, von denen derzeit mehr als 30 auf dem Radarschirm sind, sagten die Forscher. Diese Anbieter verkaufen Exploits oder Überwachungsfähigkeiten an staatlich geförderte Bedrohungsakteure und ermöglichen so „die Verbreitung gefährlicher Hacking-Tools und bewaffnen Regierungen, die diese Fähigkeiten nicht selbst entwickeln könnten“, schreiben die Forscher. Sie stellten fest, dass diese häufig eingesetzt werden, um Dissidenten, Journalisten, Menschenrechtsaktivisten und Politiker von Oppositionsparteien auf potenziell lebensgefährliche Weise ins Visier zu nehmen.
Der Einsatz von Überwachungstechnologien ist derzeit nach den meisten nationalen und internationalen Gesetzen legal, und Regierungen haben diese Gesetze und Technologien missbraucht, um Personen ins Visier zu nehmen, die nicht mit ihren Absichten übereinstimmen. Allerdings geriet dieser Missbrauch aufgrund der Aufdeckung von Missbräuchen durch Regierungen unter internationale Beobachtung Mobile Pegasus-Spyware der NSO Group um iPhone-Nutzer anzusprechen, Regulierungsbehörden und Anbieter gleichermaßen gewesen knacken über die Herstellung und Nutzung kommerzieller Spyware.
Tatsächlich hat die Biden-Regierung am 28. März eine Durchführungsverordnung erlassen, die zwar kein völliges Verbot von Spyware darstellt, aber schränkt den Einsatz kommerzieller Überwachungsinstrumente ein von der Bundesregierung.
Die Ergebnisse von Google in dieser Woche zeigen, dass diese Bemühungen kaum dazu beigetragen haben, die kommerzielle Spyware-Szene zu vereiteln, und „unterstreichen das Ausmaß, in dem kommerzielle Überwachungsanbieter Fähigkeiten ausgeweitet haben, die in der Vergangenheit nur von Regierungen mit technischem Fachwissen zur Entwicklung und Operationalisierung von Exploits genutzt wurden“, so die TAG-Forscher schrieb im Beitrag.
Konkret entdeckten die Forscher, was sie als zwei „unterschiedliche, begrenzte und äußerst zielgerichtete“ Kampagnen bezeichnen, die sich an Nutzer von Android, iOS und Chrome auf Mobilgeräten richten. Beide nutzen Zero-Day-Exploits und N-Day-Exploits. Was Letzteres betrifft, nutzen die Kampagnen insbesondere den Zeitraum zwischen der Veröffentlichung von Korrekturen für Schwachstellen durch die Anbieter und der tatsächlichen Aktualisierung der Endbenutzergeräte durch die Hardwarehersteller mit diesen Patches aus, um Exploits für ungepatchte Plattformen zu erstellen, so die Forscher.
Dies zeigt, dass diejenigen, die die Exploits erstellen, ein genaues Auge auf Schwachstellen haben, die sie für schändliche Zwecke ausnutzen können, und laut TAG wahrscheinlich Absprachen treffen, um das Potenzial für deren Einsatz zur Kompromittierung von Zielgeräten zu maximieren. Die Kampagnen deuten auch darauf hin, dass Anbieter von Überwachungssoftware Exploits und Techniken weitergeben, um die Verbreitung gefährlicher Hacking-Tools zu ermöglichen, schreiben die Forscher in dem Beitrag.
Die iOS/Android-Spyware-Kampagne
Die erste von Forschern beschriebene Kampagne wurde im November entdeckt und nutzt zwei Schwachstellen in iOS und drei in Android aus, darunter jeweils mindestens eine Zero-Day-Schwachstelle.
Forscher fanden erste Zugriffsversuche, die sowohl Android- als auch iOS-Geräte betreffen, die über ausgeliefert wurden bit.ly-Links per SMS verschickt an Benutzer in Italien, Malaysia und Kasachstan, sagten sie. Die Links leiteten Besucher auf Seiten weiter, auf denen Exploits für Android oder iOS gehostet wurden, und leiteten sie dann auf legitime Websites weiter – „wie eine Seite zur Sendungsverfolgung für das in Italien ansässige Versand- und Logistikunternehmen BRT oder eine beliebte malaysische Nachrichten-Website“, schrieben Forscher die Post.
Die iOS-Exploit-Kette zielte auf Versionen vor 15.1 ab und beinhaltete einen Exploit für einen WebKit-Remote-Code-Execution-Fehler (RCE), der als verfolgt wird CVE-2022-42856, aber zum Zeitpunkt des Exploits ein Zero-Day. Es handelt sich um ein Typverwechslungsproblem innerhalb des JIT-Compilers, der Exploit nutzte eine PAC-Bypass-Technik im März 2022 von Apple behoben. Der Angriff nutzte auch einen Sandbox-Escape- und Privilegien-Eskalationsfehler in AGXAccelerator aus, der als verfolgt wird CVE-2021-30900, was von Apple in iOS 15.1 behoben wurde.
Die letzte Nutzlast der iOS-Kampagne war ein einfacher Stager, der den GPS-Standort des Geräts zurücksendet und es dem Angreifer außerdem ermöglicht, eine .IPA-Datei (iOS-Anwendungsarchiv) auf dem betroffenen Mobiltelefon zu installieren, so die Forscher. Diese Datei kann zum Diebstahl von Informationen verwendet werden.
Die Android-Exploit-Kette in der Kampagne zielte auf Benutzer auf Geräten ab, die eine ARM-GPU mit Chrome-Versionen vor 106 verwenden, sagten die Forscher. Es wurden drei Schwachstellen ausgenutzt: CVE-2022-3723, eine Sicherheitslücke durch Typverwirrung in Chrome im letzten Oktober behobenr in Version 107.0.5304.87, CVE-2022-4135, eine Chrome-GPU-Sandbox-Umgehung, die sich nur auf Android auswirkte und bei der Ausnutzung und Behebung im November einen Zero-Day darstellte, und CVE-2022-38181, eine Fehler bei der Rechteausweitung durch ARM behoben letzten August.
Die Bedeutung des Angriffs auf ARM und CVE-2022-38181 besteht insbesondere darin, dass mehrere Anbieter – darunter Pixel, Samsung, Xiaomi und Oppo – den Patch nicht integriert hatten, als der Fix für diesen Fehler erstmals veröffentlicht wurde. den Angreifern mehrere Monate Zeit geben um den Fehler frei auszunutzen, sagten Forscher.
Samsung-Browser-Cyberspionagekampagne
Google TAG-Forscher entdeckten im Dezember die zweite Kampagne, die eine vollständige Exploit-Kette umfasst, die sowohl Zero-Days als auch N-Days nutzt, um auf die neueste Version des Samsung Internet Browsers abzuzielen. Der Browser läuft auf Chromium 102 und wurde nicht mit den neuesten Abhilfemaßnahmen aktualisiert, die von den Angreifern zusätzliche Arbeit zur Ausführung des Exploits erfordert hätten, sagten die Forscher.
Angreifer übermittelten die Exploits in einmaligen Links, die per SMS an Geräte in den Vereinigten Arabischen Emiraten (VAE) gesendet wurden, sagten die Forscher. Der Link leitete Benutzer zu einer Zielseite, die mit der in der identisch ist Heliconia-Rahmen entwickelt vom kommerziellen Spyware-Anbieter Variston, fügten sie hinzu.
Bei der Nutzlast des Exploits handelte es sich in diesem Fall um eine C++-basierte, „voll ausgestattete Android-Spyware-Suite“, die Bibliotheken zum Entschlüsseln und Erfassen von Daten aus verschiedenen Chat- und Browseranwendungen enthielt, schrieben die Forscher. Sie vermuten, dass der beteiligte Akteur ein Kunde, Partner oder eine anderweitig enge Tochtergesellschaft von Variston sein könnte.
Es wurden Fehler in der Kette ausgenutzt CVE-2022-4262, eine Sicherheitslücke durch Typverwechslung in Chrome, die zum Zeitpunkt der Ausnutzung ein Zero-Day war, CVE-2022-3038, ein Sandbox-Escape in Chrome, das im Juni 105 in Version 2022 behoben wurde, CVE-2022-22706, eine Schwachstelle in Mali-GPU-Kernel-Treiber von ARM behoben im Januar 2022 und CVE-2023-0266, eine Race-Condition-Schwachstelle im Sound-Subsystem des Linux-Kernels, die Lese- und Schreibzugriff auf den Kernel ermöglicht und zum Zeitpunkt der Ausnutzung ein Zero-Day-Sicherheitsrisiko war.
„Die Exploit-Kette nutzte auch mehrere Zero-Day-Kernel-Informationslecks aus, als sie CVE-2022-22706 und CVE-2023-0266 ausnutzte“, die Google ARM und Samsung gemeldet hatte, schrieben die Forscher.
Begrenzung von Spyware und Schutz mobiler Benutzer
TAG-Forscher stellten eine Liste von Kompromittierungsindikatoren (Indicators of Compromise, IoC) zur Verfügung, damit Gerätebenutzer erkennen können, ob sie von den Kampagnen angegriffen werden. Sie betonten auch, wie wichtig es für Anbieter und Benutzer ist, ihre Mobilgeräte so schnell wie möglich mit den neuesten Patches zu aktualisieren, nachdem Schwachstellen und/oder Exploits für sie entdeckt wurden.
„Eine große Erkenntnis wäre hier, vollständig aktualisierte Software auf vollständig aktualisierten Geräten zu verwenden“, antworten Google TAG-Forscher auf Fragen von Dark Reading. „In diesem Fall hätte keine der beschriebenen Exploit-Ketten funktioniert.“
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://www.darkreading.com/attacks-breaches/google-spyware-governments-zero-day-exploits
- :Ist
- 1
- 2022
- 28
- 7
- a
- Fähig
- Missbrauch
- Zugang
- Nach
- aktiv
- Akteure
- berührt das Schneidwerkzeug
- hinzugefügt
- Zusätzliche
- Verwaltung
- Vorteil
- beeinflussen
- beeinflussen
- Affiliate
- Nach der
- gegen
- erlaubt
- Analyse
- und
- androide
- Apple
- Anwendung
- Anwendungen
- Araber
- Archiv
- SIND
- ARM
- AS
- At
- Attacke
- Offensives
- Versuche
- AUGUST
- Zurück
- Verbot
- BE
- Sein
- zwischen
- Biden
- Biden-Verwaltung
- Big
- Blog
- Browser
- Fehler
- by
- Kampagnen (Campaign)
- Kampagnen
- CAN
- Fähigkeiten
- Capturing
- tragen
- Häuser
- Kette
- Ketten
- charakterisieren
- Chrome
- Chrom
- Menu
- Code
- kommerziell
- Unternehmen
- abschließen
- Kompromiss
- Zustand
- Verwirrung
- Erstellen
- Zur Zeit
- Kunde
- Gefährlich
- Dunkel
- Dunkle Lektüre
- technische Daten
- Dezember
- geliefert
- zeigt
- einsetzen
- beschrieben
- entwickeln
- entwickelt
- Gerät
- Geräte
- DID
- entdeckt
- deutlich
- Fahrer
- jeder
- Bemühungen
- entweder
- emirates
- ermöglichen
- ermöglichen
- Eskalation
- Ausführung
- Exekutive
- oberster Befehl
- Expertise
- Ausnutzen
- Ausbeutung
- Exploited
- Abenteuer
- Auge
- Stürze
- Bundes-
- Bundesregierung
- Reichen Sie das
- Finale
- Vorname
- Fixieren
- fixiert
- Fehler
- Aussichten für
- gefunden
- für
- voll
- der Regierung
- Regierungen
- gps
- GPU
- Gruppe an
- Hacking
- Hardware
- Haben
- Hilfe
- hier
- hoch
- historisch
- Hosting
- Ultraschall
- aber
- HTML
- http
- HTTPS
- human
- Menschenrechte
- identisch
- wichtig
- in
- das
- inklusive
- Dazu gehören
- Einschließlich
- integrieren
- Anzeigen
- Einzelpersonen
- Information
- Anfangs-
- anfänglich
- installieren
- International
- Internet
- beteiligt
- iOS
- iPhone
- Problem
- Herausgegeben
- IT
- Italien
- Januar
- JIT
- Journalisten
- jpg
- Kasachstan
- Aufbewahrung
- Wissen
- Landung
- Nachname
- neueste
- Gesetze
- Leck
- Rechtlich
- Bibliotheken
- wahrscheinlich
- Limitiert
- LINK
- Links
- linux
- Liste
- wenig
- located
- Standorte
- Logistik
- Malaysia
- Hersteller
- März
- Maximieren
- Mobil
- mobile Geräte
- mehr
- vor allem warme
- mehrere
- National
- News
- nist
- bekannt
- November
- of
- on
- EINEM
- OPPO
- Auftrag
- Andernfalls
- skizzierte
- Seite
- besondere
- Partner
- Patch
- Patches
- Pegasus
- Zeit
- Pixel
- Plattformen
- Plato
- Datenintelligenz von Plato
- PlatoData
- Politiker
- Beliebt
- möglich
- Post
- Potenzial
- möglicherweise
- Gegenwart
- Vor
- Produktion
- Schutz
- vorausgesetzt
- Bereitstellung
- Zwecke
- Fragen
- schnell
- Rennen
- Radar
- RE
- Lesen Sie mehr
- Lesebrillen
- kürzlich
- in Bezug auf
- Release
- freigegeben
- entfernt
- Berichtet
- falls angefordert
- Forscher
- Antwort
- Folge
- Revealed
- Rechte
- Laufen
- s
- Said
- Samsung
- Sandkasten
- Szene
- Bildschirm
- Zweite
- verkaufen
- getrennte
- mehrere
- Teilen
- Short
- erklären
- Bedeutung
- Einfacher
- da
- Smartphones
- SMS
- Software
- Klingen
- Spyware
- so
- Suite
- Überwachung
- TAG
- Nehmen
- Target
- gezielt
- Technische
- Techniken
- Technologies
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- Sie
- Diese
- diese Woche
- Bedrohung
- Bedrohungsakteure
- nach drei
- Zeit
- zu
- Werkzeuge
- verfolgen sind
- Tracking
- UAE
- für
- Vereinigt
- Vereinte Arabische Emirate
- Aktualisierung
- aktualisiert
- -
- Nutzer
- verschiedene
- Verkäufer
- Anbieter
- Version
- Besucher
- Sicherheitslücken
- Verwundbarkeit
- Wege
- Webkit
- Webseite
- Webseiten
- Woche
- GUT
- Was
- welche
- mit
- .
- Arbeiten
- gearbeitet
- Arbeiter
- würde
- schreiben
- Xiaomi
- Zephyrnet
