Google: Εμπορικό λογισμικό κατασκοπείας που χρησιμοποιείται από κυβερνήσεις φορτωμένες με μηδενικές εκμεταλλεύσεις

Ερευνητές από την Ομάδα Ανάλυσης Απειλές (TAG) της Google ανακάλυψαν δύο ξεχωριστές, άκρως στοχευμένες καμπάνιες που χρησιμοποιούν διάφορα, μη επιδιορθωμένα προγράμματα εκμετάλλευσης zero-day εναντίον χρηστών smartphone iPhone και Android για ανάπτυξη spyware.

Οι ανακαλύψεις — αποκαλύφθηκαν σε ένα blog post στις 29 Μαρτίου — είναι το αποτέλεσμα της ενεργούς παρακολούθησης που κάνει το Google TAG σε εμπορικούς προμηθευτές spyware, με περισσότερους από 30 από αυτούς να βρίσκονται επί του παρόντος στην οθόνη του ραντάρ, είπαν οι ερευνητές. Αυτοί οι πωλητές πωλούν εκμεταλλεύσεις ή δυνατότητες επιτήρησης σε φορείς απειλών που χρηματοδοτούνται από το κράτος, «επιτρέποντας έτσι τον πολλαπλασιασμό επικίνδυνων εργαλείων hacking, εξοπλίζοντας τις κυβερνήσεις που δεν θα μπορούσαν να αναπτύξουν αυτές τις δυνατότητες εσωτερικά», έγραψαν οι ερευνητές. Αυτά χρησιμοποιούνται συχνά για να στοχοποιήσουν αντιφρονούντες, δημοσιογράφους, εργαζόμενους στα ανθρώπινα δικαιώματα και πολιτικούς του κόμματος της αντιπολίτευσης με δυνητικά απειλητικούς για τη ζωή τρόπους, σημείωσαν.

Η χρήση τεχνολογιών επιτήρησης είναι επί του παρόντος νόμιμη βάσει των περισσότερων εθνικών ή διεθνών νόμων και οι κυβερνήσεις έχουν καταχραστεί αυτούς τους νόμους και τις τεχνολογίες για να στοχεύσουν άτομα που δεν ευθυγραμμίζονται με την ατζέντα τους. Ωστόσο, δεδομένου ότι αυτή η κατάχρηση τέθηκε υπό διεθνή έλεγχο λόγω της αποκάλυψης των κυβερνήσεων κατάχρησης Το λογισμικό κατασκοπείας για κινητά Pegasus του Ομίλου NSO για να στοχεύσετε χρήστες iPhone, ρυθμιστικές αρχές και προμηθευτές έχουν πάταξη σχετικά με την παραγωγή και τη χρήση εμπορικού spyware.

Στην πραγματικότητα, στις 28 Μαρτίου, η κυβέρνηση Μπάιντεν εξέδωσε ένα εκτελεστικό διάταγμα που υπολείπεται της απόλυτης απαγόρευσης του spyware, αλλά περιορίζει τη χρήση εργαλείων εμπορικής επιτήρησης από την ομοσπονδιακή κυβέρνηση.

Τα ευρήματα της Google αυτή την εβδομάδα δείχνουν ότι αυτές οι προσπάθειες έχουν κάνει ελάχιστα για να εμποδίσουν τη σκηνή του εμπορικού λογισμικού κατασκοπείας και «υπογραμμίζουν τον βαθμό στον οποίο οι προμηθευτές εμπορικής παρακολούθησης έχουν πολλαπλασιάσει τις δυνατότητες που χρησιμοποιούνται ιστορικά μόνο από κυβερνήσεις με την τεχνική τεχνογνωσία για την ανάπτυξη και τη λειτουργικότητα των εκμεταλλεύσεων», οι ερευνητές της TAG έγραψε στην ανάρτηση.

Συγκεκριμένα, οι ερευνητές ανακάλυψαν αυτό που χαρακτηρίζουν ως δύο «ξεχωριστές, περιορισμένες και εξαιρετικά στοχευμένες» καμπάνιες που απευθύνονται σε χρήστες Android, iOS και Chrome σε κινητές συσκευές. Και οι δύο χρησιμοποιούν εκμεταλλεύσεις zero-day και exploits n-day. Όσον αφορά το τελευταίο, οι καμπάνιες επωφελούνται ιδιαίτερα από το χρονικό διάστημα που μεσολαβεί από τη στιγμή που οι προμηθευτές εκδίδουν διορθώσεις για τρωτά σημεία και όταν οι κατασκευαστές υλικού ενημερώνουν πραγματικά τις συσκευές τελικού χρήστη με αυτές τις ενημερώσεις κώδικα, δημιουργώντας εκμεταλλεύσεις για μη επιδιορθωμένες πλατφόρμες, είπαν οι ερευνητές.

Αυτό δείχνει ότι όσοι δημιουργούν τις εκμεταλλεύσεις παρακολουθούν στενά τα τρωτά σημεία που μπορούν να εκμεταλλευτούν για κακόβουλους σκοπούς και είναι πιθανό να συνεργάζονται για να μεγιστοποιήσουν τη δυνατότητα χρήσης τους για να παραβιάσουν στοχευμένες συσκευές, σύμφωνα με την TAG. Οι εκστρατείες προτείνουν επίσης ότι οι προμηθευτές λογισμικού παρακολούθησης μοιράζονται εκμεταλλεύσεις και τεχνικές για να επιτρέψουν τον πολλαπλασιασμό επικίνδυνων εργαλείων hacking, έγραψαν οι ερευνητές στην ανάρτηση.

Η καμπάνια iOS/Android Spyware

Η πρώτη εκστρατεία που περιέγραψαν οι ερευνητές ανακαλύφθηκε τον Νοέμβριο και εκμεταλλεύεται δύο τρωτά σημεία στο iOS και τρία στο Android, συμπεριλαμβανομένου τουλάχιστον ενός ελαττώματος zero-day το καθένα.

Οι ερευνητές βρήκαν αρχικές προσπάθειες πρόσβασης που επηρεάζουν τόσο συσκευές Android όσο και iOS που παραδόθηκαν μέσω σύνδεσμοι bit.ly που αποστέλλονται μέσω SMS σε χρήστες που βρίσκονται στην Ιταλία, τη Μαλαισία και το Καζακστάν, είπαν. Οι σύνδεσμοι ανακατευθύνουν τους επισκέπτες σε σελίδες που φιλοξενούν εκμεταλλεύσεις είτε για Android είτε για iOS και στη συνέχεια τους ανακατευθύνουν σε νόμιμους ιστότοπους — «όπως μια σελίδα για την παρακολούθηση αποστολών για την ιταλική εταιρεία αποστολών και logistics BRT ή έναν δημοφιλή ιστότοπο ειδήσεων της Μαλαισίας», έγραψαν ερευνητές στο η δημοσίευση.

Η αλυσίδα εκμετάλλευσης iOS στόχευε εκδόσεις πριν από την 15.1 και περιλάμβανε μια εκμετάλλευση για ένα ελάττωμα απομακρυσμένης εκτέλεσης κώδικα WebKit (RCE), που παρακολουθείται ως CVE-2022-42856, αλλά μια ημέρα μηδέν τη στιγμή της εκμετάλλευσης. Περιλαμβάνει ένα ζήτημα σύγχυσης τύπων στον μεταγλωττιστή JIT, το exploit χρησιμοποίησε μια τεχνική παράκαμψης PAC διορθώθηκε τον Μάρτιο του 2022 από την Apple. Η επίθεση εκμεταλλεύτηκε επίσης ένα σφάλμα διαφυγής sandbox και κλιμάκωσης προνομίων στο AGXAccelerator, που παρακολουθείται ως CVE-2021-30900, το οποίο διορθώθηκε από την Apple στο iOS 15.1.

Το τελικό ωφέλιμο φορτίο της καμπάνιας iOS ήταν ένας απλός σταδιακός σταθμός που επιστρέφει τη θέση GPS της συσκευής και επιτρέπει επίσης στον εισβολέα να εγκαταστήσει ένα αρχείο .IPA (αρχείο εφαρμογής iOS) στο επηρεαζόμενο ακουστικό, είπαν οι ερευνητές. Αυτό το αρχείο μπορεί να χρησιμοποιηθεί για την κλοπή πληροφοριών.

Η αλυσίδα εκμετάλλευσης Android στην καμπάνια στόχευε χρήστες σε συσκευές που χρησιμοποιούν GPU ARM με εκδόσεις Chrome πριν από την 106, είπαν οι ερευνητές. Υπήρχαν τρία τρωτά σημεία που αξιοποιήθηκαν: CVE-2022-3723, μια ευπάθεια σύγχυσης τύπου στο Chrome που ήταν διορθώθηκε τον περασμένο Οκτώβριοr στην έκδοση 107.0.5304.87, CVE-2022-4135, μια παράκαμψη sandbox GPU Chrome που επηρέαζε μόνο το Android που ήταν μηδενική ημέρα κατά την εκμετάλλευση και την επιδιόρθωση τον Νοέμβριο, και CVE-2022-38181, μια Το σφάλμα κλιμάκωσης προνομίων διορθώθηκε από την ARM τον περασμένο Αύγουστο.

Η σημασία της επίθεσης στο ARM και το CVE-2022-38181 συγκεκριμένα είναι ότι όταν κυκλοφόρησε αρχικά η επιδιόρθωση για αυτό το ελάττωμα, αρκετοί προμηθευτές — συμπεριλαμβανομένων των Pixel, Samsung, Xiaomi και Oppo — δεν ενσωμάτωσαν την ενημερωμένη έκδοση κώδικα, δίνοντας στους επιτιθέμενους αρκετούς μήνες για να εκμεταλλευτεί ελεύθερα το σφάλμα, είπαν οι ερευνητές.

Καμπάνια διαδικτυακής κατασκοπείας με προγράμματα περιήγησης Samsung

Οι ερευνητές της Google TAG ανακάλυψαν τη δεύτερη καμπάνια, η οποία περιλαμβάνει μια πλήρη αλυσίδα εκμετάλλευσης που χρησιμοποιεί τόσο μηδέν-ημέρες όσο και n-ημέρες για να στοχεύσει την τελευταία έκδοση του προγράμματος περιήγησης Διαδικτύου Samsung, τον Δεκέμβριο. Το πρόγραμμα περιήγησης τρέχει στο Chromium 102 και δεν έχει ενημερωθεί για να περιλαμβάνει πρόσφατες μετριασμούς, οι οποίοι θα απαιτούσαν από τους εισβολείς να κάνουν πρόσθετη εργασία για να πραγματοποιήσουν την εκμετάλλευση, είπαν οι ερευνητές.

Οι επιτιθέμενοι παρέδωσαν τα κατορθώματα σε εφάπαξ συνδέσμους που στάλθηκαν μέσω SMS σε συσκευές που βρίσκονται στα Ηνωμένα Αραβικά Εμιράτα (ΗΑΕ), είπαν οι ερευνητές. Ο σύνδεσμος κατεύθυνε τους χρήστες σε μια σελίδα προορισμού πανομοιότυπη με αυτή που υπάρχει στο Πλαίσιο Heliconia που αναπτύχθηκε από τον εμπορικό πωλητή spyware Variston, πρόσθεσαν.

Το ωφέλιμο φορτίο του exploit σε αυτή την περίπτωση ήταν μια βασισμένη σε C++, «πλήρως δυνατοτήτων σουίτα λογισμικού spyware Android» που περιλάμβανε βιβλιοθήκες για την αποκρυπτογράφηση και τη λήψη δεδομένων από διάφορες εφαρμογές συνομιλίας και προγράμματος περιήγησης, έγραψαν οι ερευνητές. Υποψιάζονται ότι ο εμπλεκόμενος ηθοποιός μπορεί να είναι πελάτης, συνεργάτης ή με άλλο τρόπο στενή θυγατρική του Variston.

Τα ελαττώματα που χρησιμοποιήθηκαν στην αλυσίδα ήταν CVE-2022-4262, μια ευπάθεια σύγχυσης τύπου στο Chrome που ήταν μηδενική ημέρα τη στιγμή της εκμετάλλευσης, CVE-2022-3038, μια διαφυγή sandbox στο Chrome διορθώθηκε στην έκδοση 105 τον Ιούνιο του 2022, CVE-2022-22706, μια ευπάθεια σε Το πρόγραμμα οδήγησης πυρήνα GPU Mali διορθώθηκε από την ARM τον Ιανουάριο του 2022 και CVE-2023-0266, μια ευπάθεια συνθήκης φυλής στο υποσύστημα ήχου πυρήνα Linux που παρέχει πρόσβαση ανάγνωσης και εγγραφής στον πυρήνα που ήταν μηδενική ημέρα κατά τη στιγμή της εκμετάλλευσης.

«Η αλυσίδα εκμετάλλευσης εκμεταλλεύτηκε επίσης τις μηδενικές ημέρες διαρροής πληροφοριών πολλαπλών πυρήνων κατά την εκμετάλλευση των CVE-2022-22706 και CVE-2023-0266» που ανέφερε η Google στην ARM και τη Samsung, έγραψαν οι ερευνητές.

Περιορισμός λογισμικού κατασκοπείας και προστασία χρηστών κινητών τηλεφώνων

Οι ερευνητές του TAG παρείχαν μια λίστα δεικτών συμβιβασμού (IoC) για να βοηθήσουν τους χρήστες της συσκευής να γνωρίζουν εάν στοχεύονται από τις καμπάνιες. Τόνισαν επίσης πόσο σημαντικό είναι για τους προμηθευτές καθώς και για τους χρήστες να ενημερώνουν τις φορητές συσκευές τους με τις πιο πρόσφατες ενημερώσεις κώδικα όσο το δυνατόν γρηγορότερα μετά την ανακάλυψη τρωτών σημείων ή/και εκμεταλλεύσεων για αυτούς.

«Μια μεγάλη λύση εδώ θα ήταν η χρήση πλήρως ενημερωμένου λογισμικού σε πλήρως ενημερωμένες συσκευές», λένε οι ερευνητές της Google TAG απαντώντας σε ερωτήσεις που έθεσε το Dark Reading. «Σε αυτή την περίπτωση, καμία από τις αλυσίδες εκμετάλλευσης που περιγράφηκαν δεν θα είχε λειτουργήσει».

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/attacks-breaches/google-spyware-governments-zero-day-exploits