Investigadores del Grupo de Análisis de Amenazas (TAG) de Google han descubierto dos campañas separadas y altamente dirigidas que utilizan varios exploits de día cero sin parches contra usuarios de teléfonos inteligentes iPhone y Android para implementar software espía.
Los descubrimientos, revelados en una entrada de blog el 29 de marzo, son el resultado del seguimiento activo que Google TAG realiza de los proveedores comerciales de software espía, con más de 30 de ellos actualmente en la pantalla del radar, dijeron los investigadores. Estos proveedores venden exploits o capacidades de vigilancia a actores de amenazas patrocinados por el estado, "permitiendo así la proliferación de herramientas de piratería peligrosas, armando a los gobiernos que no podrían desarrollar estas capacidades internamente", escribieron los investigadores. Estos ataques se utilizan a menudo para atacar a disidentes, periodistas, trabajadores de derechos humanos y políticos de partidos de oposición de maneras potencialmente mortales, señalaron.
El uso de tecnologías de vigilancia es actualmente legal según la mayoría de las leyes nacionales o internacionales, y los gobiernos han abusado de estas leyes y tecnologías para atacar a personas que no se alinean con sus agendas. Sin embargo, dado que este abuso quedó bajo escrutinio internacional debido a la revelación de que los gobiernos abusaban El software espía móvil Pegasus de NSO Group para dirigirse a los usuarios de iPhone, reguladores y proveedores por igual han sido rompiendose sobre la producción y el uso de software espía comercial.
De hecho, el 28 de marzo, la administración Biden emitió una orden ejecutiva que no llega a prohibir totalmente el software espía, pero restringe el uso de herramientas de vigilancia comerciales por el gobierno federal.
Los hallazgos de Google esta semana muestran que esos esfuerzos han hecho poco para frustrar la escena del software espía comercial y "subrayan hasta qué punto los proveedores de vigilancia comerciales han proliferado capacidades que históricamente sólo han sido utilizadas por gobiernos con la experiencia técnica para desarrollar y poner en funcionamiento exploits", investigadores de TAG. escribió en la publicación.
Específicamente, los investigadores descubrieron lo que caracterizan como dos campañas "distintas, limitadas y muy específicas" dirigidas a usuarios de Android, iOS y Chrome en dispositivos móviles. Ambos utilizan exploits de día cero y de día n. Con respecto a esto último, las campañas aprovechan particularmente el período de tiempo entre el momento en que los proveedores lanzan correcciones para las vulnerabilidades y el momento en que los fabricantes de hardware realmente actualizan los dispositivos de los usuarios finales con esos parches, creando exploits para plataformas sin parches, dijeron los investigadores.
Esto demuestra que quienes crean los exploits vigilan de cerca las vulnerabilidades que pueden explotar con fines nefastos y probablemente estén en connivencia para maximizar el potencial de usarlas para comprometer dispositivos específicos, según TAG. Las campañas también sugieren que los proveedores de software de vigilancia comparten exploits y técnicas para permitir la proliferación de herramientas de piratería peligrosas, escribieron los investigadores en la publicación.
La campaña de software espía para iOS y Android
La primera campaña que describieron los investigadores fue descubierta en noviembre y explota dos vulnerabilidades en iOS y tres en Android, incluyendo al menos una falla de día cero cada una.
Los investigadores encontraron intentos de acceso iniciales que afectan tanto a los dispositivos Android como iOS que se entregaron a través de Enlaces bit.ly enviados por SMS a usuarios ubicados en Italia, Malasia y Kazajstán, dijeron. Los enlaces redirigían a los visitantes a páginas que albergaban exploits para Android o iOS, y luego los redireccionaban a sitios web legítimos, "como una página para rastrear envíos para la empresa italiana de envíos y logística BRT, o un popular sitio web de noticias de Malasia", escribieron los investigadores en el cargo.
La cadena de exploits de iOS se centró en versiones anteriores a la 15.1 e incluyó un exploit para una falla de ejecución remota de código (RCE) de WebKit, rastreada como CVE-2022-42856, sino un día cero en el momento del exploit. Se trata de un problema de confusión de tipos dentro del compilador JIT, el exploit utilizó una técnica de omisión de PAC. arreglado en marzo de 2022 por Apple. El ataque también aprovechó un error de escape de la zona de pruebas y escalada de privilegios en AGXAccelerator, rastreado como CVE-2021-30900, que Apple solucionó en iOS 15.1.
La carga útil final de la campaña de iOS fue una simple etapa que hace ping a la ubicación GPS del dispositivo y también permite al atacante instalar un archivo .IPA (archivo de aplicación de iOS) en el teléfono afectado, dijeron los investigadores. Este archivo se puede utilizar para robar información.
La cadena de exploits de Android en la campaña se dirigió a usuarios de dispositivos que usan una GPU ARM que ejecuta versiones de Chrome anteriores a la 106, dijeron los investigadores. Se explotaron tres vulnerabilidades: CVE-2022-3723, una vulnerabilidad de confusión de tipos en Chrome que fue arreglado en octubre pasador en la versión 107.0.5304.87, CVE-2022-4135, una omisión de la zona de pruebas de GPU de Chrome que solo afecta a Android y que era de día cero cuando se explotó y solucionó en noviembre, y CVE-2022-38181, error de escalada de privilegios solucionado por ARM agosto pasado.
La importancia de atacar ARM y CVE-2022-38181 en particular es que cuando se lanzó inicialmente la solución para esta falla, varios proveedores, incluidos Pixel, Samsung, Xiaomi y Oppo, no incorporaron el parche. dando a los atacantes varios meses para explotar libremente el error, dijeron los investigadores.
Campaña de ciberespionaje del navegador Samsung
Los investigadores de Google TAG descubrieron la segunda campaña, que incluye una cadena completa de exploits que utiliza días cero y días n para apuntar a la última versión del navegador de Internet Samsung, en diciembre. El navegador se ejecuta en Chromium 102 y no se ha actualizado para incluir mitigaciones recientes, lo que habría requerido que los atacantes hicieran trabajo adicional para llevar a cabo el exploit, dijeron los investigadores.
Los atacantes entregaron los exploits en enlaces únicos enviados por SMS a dispositivos ubicados en los Emiratos Árabes Unidos (EAU), dijeron los investigadores. El enlace dirigía a los usuarios a una página de destino idéntica a la presente en el Marco de heliconia desarrollado por el proveedor comercial de software espía Variston, agregaron.
La carga útil del exploit en este caso era un “paquete de software espía de Android con todas las funciones” basado en C++ que incluía bibliotecas para descifrar y capturar datos de varias aplicaciones de chat y navegador, escribieron los investigadores. Sospechan que el actor involucrado puede ser un cliente, socio o afiliado cercano de Variston.
Los fallos explotados en la cadena fueron CVE-2022-4262, una vulnerabilidad de confusión de tipos en Chrome que era de día cero en el momento de la explotación, CVE-2022-3038, un escape sandbox en Chrome solucionado en la versión 105 en junio de 2022, CVE-2022-22706, una vulnerabilidad en Controlador del kernel de GPU de Mali arreglado por ARM en enero de 2022, y CVE-2023-0266, una vulnerabilidad de condición de carrera en el subsistema de sonido del kernel de Linux que proporciona acceso de lectura y escritura al kernel que era de día cero en el momento de la explotación.
"La cadena de exploits también aprovechó múltiples fugas de información del kernel de día cero al explotar CVE-2022-22706 y CVE-2023-0266" que Google informó a ARM y Samsung, escribieron los investigadores.
Limitar el software espía y proteger a los usuarios de dispositivos móviles
Los investigadores de TAG proporcionaron una lista de indicadores de compromiso (IoC) para ayudar a los usuarios de dispositivos a saber si están siendo objetivo de las campañas. También enfatizaron lo importante que es tanto para los proveedores como para los usuarios actualizar sus dispositivos móviles con los últimos parches lo más rápido posible después de que se descubran vulnerabilidades y/o exploits.
"Una gran conclusión aquí sería utilizar software completamente actualizado en dispositivos completamente actualizados", dicen los investigadores de Google TAG en respuesta a las preguntas planteadas por Dark Reading. "En este caso, ninguna de las cadenas de exploits descritas habría funcionado".
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/attacks-breaches/google-spyware-governments-zero-day-exploits
- :es
- 1
- 2022
- 28
- 7
- a
- Poder
- abuso
- de la máquina
- Conforme
- lector activo
- los actores
- adicional
- Adicionales
- administración
- Ventaja
- afectar
- afectando
- Afiliación
- Después
- en contra
- permite
- análisis
- y
- android
- Apple
- Aplicación
- aplicaciones
- Árabe
- Archive
- somos
- ARM
- AS
- At
- atacar
- Atacar
- Los intentos
- AGOSTO
- Atrás
- Prohibición
- BE
- "Ser"
- entre
- Biden
- Administración de Biden
- Big
- Blog
- cada navegador
- Error
- by
- Campaña
- Campañas
- PUEDEN
- capacidades
- Capturando
- llevar
- case
- cadena
- cadenas
- caracterizar
- Chrome
- cromo
- Cerrar
- código
- completo
- compañía
- completar
- compromiso
- condición
- confusión
- Creamos
- En la actualidad
- cliente
- peligroso
- Oscuro
- Lectura oscura
- datos
- Diciembre
- liberado
- demuestra
- desplegar
- descrito
- desarrollar
- desarrollado
- dispositivo
- Dispositivos
- HIZO
- descubierto CRISPR
- distinto
- conductor
- cada una
- esfuerzos
- ya sea
- emiratos
- habilitar
- permitiendo
- escalada
- ejecución
- ejecutivos
- orden ejecutiva
- Experiencia
- Explotar
- explotación
- Explotado
- exploits
- ojos
- Caídas
- Federal
- Gobierno federal
- Archive
- final
- Nombre
- Fijar
- fijas
- falla
- encontrado
- Desde
- completamente
- Gobierno
- Gobiernos
- gps
- GPU
- Grupo procesos
- la piratería
- Materiales
- Tienen
- ayuda
- esta página
- altamente
- históricamente
- hosting
- Cómo
- Sin embargo
- HTML
- http
- HTTPS
- humana
- derechos humanos
- idéntico
- importante
- in
- incluir
- incluido
- incluye
- Incluye
- incorporar
- indicadores
- individuos
- información
- inicial
- posiblemente
- instalar
- Internacional
- Internet
- involucra
- iOS
- iPhone
- Emitido
- IT
- Italia
- Enero
- JIT
- Periodistas.
- jpg
- Kazajistán
- acuerdo
- Saber
- aterrizaje
- Apellidos
- más reciente
- leyes
- fuga
- Legal
- bibliotecas
- que otros
- Limitada
- LINK
- enlaces
- Linux
- Lista
- pequeño
- situados
- Ubicación
- Logística
- Malaysia
- Fabricantes
- Marzo
- Maximizar
- Móvil
- dispositivos móviles
- más,
- MEJOR DE TU
- múltiples
- Nacional
- noticias
- nist
- señaló
- Noviembre
- of
- on
- ONE
- OPPO
- solicite
- de otra manera
- esbozado
- página
- particular
- Socio
- Patch
- Parches
- Pegasus
- período
- pixel
- Plataformas
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Los políticos
- Popular
- posible
- Publicación
- posible
- la posibilidad
- presente
- Anterior
- Producción
- protector
- previsto
- proporcionando
- fines
- Preguntas
- con rapidez
- Carrera
- radar
- RE
- Leer
- Reading
- reciente
- con respecto a
- ,
- liberado
- sanaciones
- reportado
- Requisitos
- investigadores
- respuesta
- resultado
- Revelado
- derechos
- correr
- s
- Said
- Samsung
- arenero
- escena
- Pantalla
- Segundo
- venta
- separado
- Varios
- Compartir
- En Corto
- Mostrar
- significado
- sencillos
- desde
- teléfonos inteligentes
- SMS
- Software
- Aislamiento de Sonido
- software espía
- tal
- suite
- vigilancia
- ETIQUETA
- ¡Prepárate!
- Target
- afectados
- Técnico
- técnicas
- Tecnologías
- esa
- La
- su
- Les
- Estas
- esta semana
- amenaza
- actores de amenaza
- Tres
- equipo
- a
- seguir
- Seguimiento
- UAE
- bajo
- United
- Emiratos Árabes Unidos
- Actualizar
- actualizado
- utilizan el
- usuarios
- diversos
- vendedor
- vendedores
- versión
- vía
- visitantes
- Vulnerabilidades
- vulnerabilidad
- formas
- kit web
- Página web
- sitios web
- semana
- WELL
- ¿
- que
- dentro de
- Actividades:
- trabajado
- los trabajadores.
- se
- escribir
- Xiaomi
- zephyrnet
