Google: kaubanduslik nuhkvara, mida kasutavad valitsused, kes on koormatud nullpäevadega

Google'i ohuanalüüsi grupi (TAG) teadlased avastasid kaks eraldiseisvat, täpselt sihitud kampaaniat, mille juurutamiseks kasutatakse iPhone'i ja Androidi nutitelefonide kasutajate vastu mitmesuguseid paigatamata nullpäeva rünnakuid. nuhkvara.

Avastused – avalikustati aastal blogi postitus 29. märtsil – on tulemus Google TAGi aktiivse jälgimise tulemus kommertslike nuhkvaramüüjate puhul, kusjuures enam kui 30 neist on praegu radariekraanil, ütlesid teadlased. Need müüjad müüvad ärakasutusi või jälgimisvõimalusi riigi toetatud ohus osalejatele, võimaldades seega ohtlike häkkimisriistade levikut, relvastades valitsusi, kes ei suuda neid võimeid ettevõttesiseselt arendada, kirjutasid teadlased. Nad märkisid, et neid kasutatakse sageli dissidentide, ajakirjanike, inimõiguste töötajate ja opositsioonipartei poliitikute sihtimiseks potentsiaalselt eluohtlikul viisil.

Seiretehnoloogiate kasutamine on praegu enamiku riiklike või rahvusvaheliste seaduste kohaselt seaduslik ning valitsused on neid seadusi ja tehnoloogiaid kuritarvitanud, et sihikule võtta isikuid, kes ei järgi nende tegevuskavasid. Kuid kuna see kuritarvitamine sattus valitsuste kuritarvitamise ilmsikstulekute tõttu rahvusvahelise tähelepanu alla NSO Groupi Pegasuse mobiilne nuhkvara iPhone'i kasutajate sihtimiseks, reguleerivad asutused ja müüjad olnud maha suruma kaubandusliku nuhkvara tootmise ja kasutamise kohta.

Tegelikult andis Bideni administratsioon 28. märtsil välja korralduse, mis ei vasta nuhkvara otsesele keelule, kuid piirab kaubanduslike jälgimisvahendite kasutamist föderaalvalitsuse poolt.

Google'i selle nädala leiud näitavad, et need jõupingutused ei ole aidanud takistada kommerts-nuhkvara stseeni ja "rõhutavad, mil määral on kommertsjärelevalve müüjad suurendanud võimalusi, mida ajalooliselt on kasutanud ainult valitsused, kellel on tehnilisi teadmisi rünnakute väljatöötamiseks ja kasutuselevõtuks", TAG-i teadlased. kirjutas postituses.

Täpsemalt avastasid teadlased, mida nad iseloomustavad kui kahte "eraldist, piiratud ja täpselt sihitud" kampaaniat, mis on suunatud Androidi, iOS-i ja Chrome'i kasutajatele mobiilseadmetes. Mõlemad kasutavad null-päevaseid ja n-päevaseid exploite. Viimaste osas kasutatakse kampaaniates eriti ära ajavahemikku, mis jääb müüjate turvaaukude paranduste väljalaskmise ja riistvaratootjate lõppkasutajate seadmete nende paikadega värskendamise vahele, ütles teadlaste sõnul.

See näitab, et ärakasutamise loojad jälgivad hoolikalt haavatavusi, mida nad saavad pahatahtlikel eesmärkidel ära kasutada, ja teevad TAGi sõnul tõenäoliselt kokkumängu, et maksimeerida nende kasutamise võimalust sihitud seadmete ohustamiseks. Kampaaniad viitavad ka sellele, et seiretarkvara müüjad jagavad ärakasutusi ja tehnikaid, et võimaldada ohtlike häkkimistööriistade levikut, kirjutasid teadlased postituses.

iOS-i/Androidi nuhkvarakampaania

Esimene teadlaste kirjeldatud kampaania avastati novembris ja see kasutab iOS-i kahte ja Androidi kolme turvaauku, sealhulgas vähemalt ühte nullpäevast viga.

Teadlased leidsid esialgsed juurdepääsukatsed, mis mõjutavad nii Androidi kui ka iOS-i seadmeid, mida tarniti SMS-iga saadetud bit.ly lingid Itaalias, Malaisias ja Kasahstanis asuvatele kasutajatele, ütlesid nad. Lingid suunasid külastajad lehtedele, kus kasutati kas Androidi või iOS-i äkilisi töid, ning seejärel suunati nad seaduslikele veebisaitidele – "näiteks Itaalia-põhise saadetiste ja logistikaettevõtte BRT saadetiste jälgimise leht või populaarne Malaisia ​​uudiste veebisait," kirjutasid teadlased postitust.

iOS-i kasutusahel sihis versioone enne 15.1 ja sisaldas WebKiti kaugkäivitamise (RCE) vea ärakasutamist, mida jälgiti kui CVE-2022-42856, kuid ärakasutamise ajal nullpäev. See hõlmab JIT-i kompilaatori tüübisegaduse probleemi, kus kasutati PAC möödaviigu tehnikat parandas 2022. aasta märtsis Apple. Rünnak kasutas ka liivakasti põgenemise ja privileegide eskalatsiooni viga AGXAcceleratoris, mida jälgiti kui CVE-2021-30900, mille Apple parandas iOS 15.1-s.

Teadlaste sõnul oli iOS-i kampaania viimane kasulik koormus lihtne etapiseade, mis pingib tagasi seadme GPS-asukoha ja võimaldab ründajal installida mõjutatud telefonitorusse .IPA-fail (iOS-i rakenduste arhiiv). Seda faili saab kasutada teabe varastamiseks.

Uurijad ütlesid, et kampaania Androidi kasutusahel oli suunatud kasutajatele, kes kasutavad ARM-i GPU-d, milles töötab Chrome'i versioon enne 106. aastat. Kasutati kolme turvaauku: CVE-2022-3723, tüüpi segaduse haavatavus Chrome'is, mis oli fikseeritud eelmise aasta oktoobrisr versioonis 107.0.5304.87, CVE-2022-4135, Chrome'i GPU liivakasti ümbersõit, mis mõjutab ainult Androidi, mis oli nullpäev, kui seda novembris kasutati ja parandati, ja CVE-2022-38181on ARM parandas privileegide eskalatsiooni vea mullu augustis.

ARM-i ja CVE-2022-38181 ründamise olulisus seisneb eelkõige selles, et kui selle vea parandus algselt välja anti, ei lisanud mitmed müüjad – sealhulgas Pixel, Samsung, Xiaomi ja Oppo – plaastrit. andes ründajatele mitu kuud teadlaste sõnul vea vabalt ära kasutada.

Samsungi brauseri küberspionaažikampaania

Google TAG-i teadlased avastasid detsembris teise kampaania, mis hõlmab täielikku kasutusahelat, mis kasutab nii null- kui ka n-päevaseid päevi, et sihtida Samsungi Interneti-brauseri uusimat versiooni. Uurijad ütlesid, et brauser töötab Chromium 102-s ja seda ei ole värskendatud, et hõlmata hiljutisi leevendusi, mis oleksid nõudnud ründajatelt täiendavat tööd.

Ründajad edastasid rünnakud ühekordsete linkidega, mis saadeti SMS-iga Araabia Ühendemiraatides (AÜE) asuvatele seadmetele, ütlesid teadlased. Link juhatas kasutajad sihtlehele, mis on identne dokumendis olevaga Heliconia raamistik mille on välja töötanud kaubanduslik nuhkvaramüüja Variston, lisasid nad.

Teadlased kirjutasid, et antud juhul oli ärakasutamise kasulik koormus C++-põhine, "täielikult varustatud Androidi nuhkvarakomplekt", mis sisaldas teeke erinevate vestlus- ja brauserirakenduste andmete dekrüpteerimiseks ja hõivamiseks. Nad kahtlustavad, et asjaosaline võib olla Varistoni klient, partner või muul viisil lähedane sidusettevõte.

Vead, mida ketti kasutati, olid CVE-2022-4262, Chrome'i tüüpi segadust tekitav haavatavus, mis oli ärakasutamise ajal nullpäev, CVE-2022-3038, 105. aasta juunis versioonis 2022 parandatud liivakasti põgenemine Chrome'is, CVE-2022-22706, haavatavus ARM parandas Mali GPU tuuma draiveri jaanuaril 2022 ja CVE-2023-0266, rassitingimuste haavatavus Linuxi kerneli heli alamsüsteemis, mis pakub tuuma lugemis- ja kirjutamisjuurdepääsu, mis oli kasutamise ajal null-päev.

Uurijad kirjutasid, et "kasutusahel kasutas CVE-2022-22706 ja CVE-2023-0266 ärakasutamisel ära ka mitme tuuma teabelekke nullpäevast", millest Google teatas ARM-ile ja Samsungile.

Nuhkvara piiramine ja mobiilikasutajate kaitsmine

TAG-i teadlased esitasid kompromissinäitajate (IoC) loendi, et aidata seadme kasutajatel teada saada, kas kampaaniad sihivad neid. Samuti rõhutasid nad, kui oluline on nii müüjatel kui ka kasutajatel värskendada oma mobiilseadmeid uusimate paikadega võimalikult kiiresti pärast turvaaukude ja/või ärakasutamiste avastamist.

"Siin oleks suur võimalus kasutada täielikult värskendatud tarkvara täielikult värskendatud seadmetes," ütlevad Google TAG-i teadlased vastuseks Dark Readingi küsimustele. "Sel juhul poleks ükski kirjeldatud ärakasutuskett töötanud."

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
• Allikas: https://www.darkreading.com/attacks-breaches/google-spyware-governments-zero-day-exploits