Googlen Threat Analysis Groupin (TAG) tutkijat ovat havainneet kaksi erillistä, tarkasti kohdistettua kampanjaa, jotka käyttävät erilaisia, korjaamattomia nollapäivän hyökkäyksiä sekä iPhone- että Android-älypuhelimien käyttäjiä vastaan. spyware.
Löydöt - paljastettiin vuonna blogi 29. maaliskuuta – ovat seurausta aktiivisesta seurannasta, jota Google TAG tekee kaupallisille vakoiluohjelmien toimittajille, joista yli 30 on tällä hetkellä tutkanäytöllä, tutkijat sanoivat. Nämä toimittajat myyvät hyväksikäyttö- tai valvontavalmiuksia valtion tukemille uhkatoimijoille, mikä "mahdollistaa vaarallisten hakkerointityökalujen leviämisen ja aseistaa hallituksia, jotka eivät pystyisi kehittämään näitä ominaisuuksia talon sisällä", tutkijat kirjoittivat. Niitä käytetään usein kohdistamaan toisinajattelijoita, toimittajia, ihmisoikeustyöntekijöitä ja oppositiopuolueen poliitikkoja mahdollisesti hengenvaarallisilla tavoilla, he huomauttivat.
Valvontateknologioiden käyttö on tällä hetkellä laillista useimpien kansallisten tai kansainvälisten lakien mukaan, ja hallitukset ovat käyttäneet näitä lakeja ja tekniikoita väärin kohdentaakseen henkilöitä, jotka eivät noudata heidän tavoitteitaan. Kuitenkin, koska tämä väärinkäyttö joutui kansainvälisen tarkastelun kohteeksi hallitusten väärinkäytösten paljastumisen vuoksi NSO Groupin Pegasus-mobiilivakoiluohjelma kohdistaa iPhone-käyttäjiin, sekä sääntelijät että myyjät ovat olleet halkeaminen kaupallisten vakoiluohjelmien tuotannosta ja käytöstä.
Itse asiassa 28. maaliskuuta Bidenin hallinto antoi toimeenpanomääräyksen, joka ei vastaa vakoiluohjelmien suoraa kieltoa, mutta rajoittaa kaupallisten valvontavälineiden käyttöä liittovaltion hallitus.
Googlen tämän viikon havainnot osoittavat, että nämä ponnistelut eivät ole juurikaan estäneet kaupallisten vakoiluohjelmien näyttämistä, ja "korostavat sitä, missä määrin kaupalliset valvontatoimittajat ovat lisänneet ominaisuuksia, joita historiallisesti ovat käyttäneet vain hallitukset, joilla on tekninen asiantuntemus kehittää ja toteuttaa hyväksikäyttöjä", TAG-tutkijat. kirjoitti viestissä.
Erityisesti tutkijat havaitsivat, mitä he luonnehtivat kahdeksi "erilliseksi, rajoitetuksi ja tarkasti kohdistetuksi" kampanjaksi, jotka on suunnattu Androidin, iOS:n ja Chromen käyttäjille mobiililaitteissa. Molemmat käyttävät zero-day exploiteja ja n-day exploiteja. Jälkimmäisen osalta kampanjoissa hyödynnetään erityisesti ajanjaksoa, joka kuluu siitä, kun toimittajat julkaisevat korjauksia haavoittuvuuksille ja kun laitteistovalmistajat todella päivittävät loppukäyttäjien laitteita näillä korjaustiedostoilla, mikä luo hyväksikäyttöä korjaamattomille alustoille, tutkijat sanoivat.
Tämä osoittaa, että hyväksikäyttöjen tekijät seuraavat tarkasti haavoittuvuuksia, joita he voivat hyödyntää ilkeällisiin tarkoituksiin, ja todennäköisesti tekevät yhteistyötä maksimoidakseen mahdollisuuden käyttää niitä kohdistettujen laitteiden vaarantamiseen, TAGin mukaan. Kampanjat viittaavat myös siihen, että valvontaohjelmistojen toimittajat jakavat hyväksikäyttöjä ja tekniikoita vaarallisten hakkerointityökalujen leviämisen mahdollistamiseksi, tutkijat kirjoittivat viestissä.
iOS/Android Spyware-kampanja
Ensimmäinen tutkijoiden hahmottelema kampanja löydettiin marraskuussa, ja se hyödyntää kahta haavoittuvuutta iOS:ssä ja kolmea Androidissa, mukaan lukien vähintään yksi nollapäivän virhe.
Tutkijat löysivät ensimmäiset pääsyyritykset, jotka vaikuttivat sekä Android- että iOS-laitteisiin, jotka toimitettiin kautta tekstiviestillä lähetetyt bit.ly-linkit Italiassa, Malesiassa ja Kazakstanissa oleville käyttäjille, he sanoivat. Linkit ohjasivat vierailijat sivuille, jotka isännöivät joko Android- tai iOS-käyttöjärjestelmää, ja sitten ohjasivat heidät laillisille verkkosivustoille - "kuten sivulle, jolla seurataan italialaisen lähetys- ja logistiikkayrityksen BRT:n lähetyksiä, tai suositulle malesialaiselle uutissivustolle", tutkijat kirjoittivat. Posti.
iOS:n hyväksikäyttöketju kohdisti versiota 15.1 aikaisempiin versioihin ja sisälsi WebKit Remote Code execution (RCE) -virheen hyväksikäytön, jota seurattiin nimellä CVE-2022-42856, mutta nollapäivä hyväksikäytön aikaan. Siihen liittyy JIT-kääntäjän tyyppisekaannusongelma, hyväksikäyttö käytti PAC-ohitustekniikkaa Apple korjasi maaliskuussa 2022. Hyökkäys hyödynsi myös AGXAcceleratorin hiekkalaatikon pakoa ja etuoikeuksien eskalaatiovirhettä, jota seurattiin nimellä CVE-2021-30900, jonka Apple korjasi iOS 15.1:ssä.
iOS-kampanjan viimeinen hyötykuorma oli yksinkertainen vaihe, joka ping-taa takaisin laitteen GPS-sijainnin ja sallii hyökkääjän asentaa .IPA-tiedoston (iOS-sovellusarkisto) kyseiseen puhelimeen, tutkijat sanoivat. Tätä tiedostoa voidaan käyttää tietojen varastamiseen.
Kampanjan Android-hyödyntämisketju kohdistettiin käyttäjille laitteissa, jotka käyttävät ARM-grafiikkasuoritinta, joissa oli Chromen versio 106:sta vanhemmat, tutkijat sanoivat. Kolmea haavoittuvuutta käytettiin hyväksi: CVE-2022-3723, Chromen tyyppihaavoittuvuus, joka oli korjattu viime lokakuussar versiossa 107.0.5304.87, CVE-2022-4135, Chromen GPU-hiekkalaatikon ohitus, joka vaikutti vain Androidiin ja joka oli nollapäivä, kun sitä hyödynnettiin ja korjattiin marraskuussa. CVE-2022-38181, The ARM on korjannut etuoikeuksien eskalaatiovirheen viime elokuu.
ARM:n ja CVE-2022-38181:n hyökkäyksen merkitys on erityisesti siinä, että kun tämän virheen korjaus julkaistiin alun perin, useat toimittajat – mukaan lukien Pixel, Samsung, Xiaomi ja Oppo – eivät sisällyttäneet korjaustiedostoa. antaa hyökkääjille useita kuukausia hyödyntääkseen vikaa vapaasti, tutkijat sanoivat.
Samsung-selaimen kybervakoilukampanja
Google TAG -tutkijat löysivät joulukuussa toisen kampanjan, joka sisältää täydellisen hyödyntämisketjun, joka käyttää sekä nolla- että n-päivää Samsung Internet Browserin uusimman version kohdistamiseksi. Selain toimii Chromium 102:lla, eikä sitä ole päivitetty sisältämään viimeaikaisia lievennyksiä, jotka olisivat vaatineet hyökkääjiltä lisätyötä hyväksikäytön toteuttamiseksi, tutkijat sanoivat.
Hyökkääjät toimittivat hyväksikäytöt kertaluonteisilla linkeillä, jotka lähetettiin tekstiviestillä Yhdistyneissä arabiemiirikunnissa (UAE) sijaitseviin laitteisiin, tutkijat sanoivat. Linkki ohjasi käyttäjät aloitussivulle, joka on identtinen sivustossa olevan sivun kanssa Heliconia-kehys kaupallisen vakoiluohjelmien myyjän Varistonin kehittämä, he lisäsivät.
Hyödynnyksen hyötykuorma tässä tapauksessa oli C++-pohjainen, "täysin varusteltu Android-spyware-ohjelmistopaketti", joka sisälsi kirjastot salauksen purkamiseen ja tietojen sieppaamiseen eri chat- ja selainsovelluksista, tutkijat kirjoittivat. He epäilevät, että mukana oleva toimija voi olla Varistonin asiakas, yhteistyökumppani tai muutoin läheinen tytäryhtiö.
Puutteita, joita ketjussa käytettiin hyväksi CVE-2022-4262, Chromen tyyppihaavoittuvuus, joka oli nollapäivä hyväksikäyttöhetkellä, CVE-2022-3038, hiekkalaatikkopako Chromessa korjattu versiossa 105 kesäkuussa 2022, CVE-2022-22706, haavoittuvuus ARM korjasi Malin GPU-ytimen ohjaimen tammikuussa 2022 ja CVE-2023-0266, kilpailutilanteen haavoittuvuus Linux-ytimen äänialijärjestelmässä, joka tarjoaa ytimen luku- ja kirjoitusoikeudet, joka oli nollapäivä hyväksikäytön aikaan.
"Hyödyntämisketju hyödynsi myös useita ytimen tietovuotoja nollapäivinä hyödyntäessään CVE-2022-22706 ja CVE-2023-0266", jotka Google raportoi ARM:lle ja Samsungille, tutkijat kirjoittivat.
Vakoiluohjelmien rajoittaminen ja mobiilikäyttäjien suojaaminen
TAG-tutkijat toimittivat luettelon kompromissiindikaattoreista (IoC), jotta laitteen käyttäjät voivat tietää, ovatko he kampanjoiden kohteena. He korostivat myös, kuinka tärkeää on, että myyjät ja käyttäjät päivittävät mobiililaitteisiinsa uusimmat korjaustiedostot mahdollisimman nopeasti sen jälkeen, kun haavoittuvuuksia ja/tai hyväksikäyttöjä on löydetty.
"Tässä olisi hyvä käyttää täysin päivitettyä ohjelmistoa täysin päivitetyissä laitteissa", Google TAG -tutkijat sanovat vastauksena Dark Readingin esittämiin kysymyksiin. "Tässä tapauksessa mikään kuvatuista hyväksikäyttöketjuista ei olisi toiminut."
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://www.darkreading.com/attacks-breaches/google-spyware-governments-zero-day-exploits
- :On
- 1
- 2022
- 28
- 7
- a
- pystyy
- hyväksikäyttö
- pääsy
- Mukaan
- aktiivinen
- toimijoiden
- todella
- lisä-
- lisä-
- hallinto
- Etu
- vaikuttaa
- vaikuttavat
- Suosittelijaksi
- Jälkeen
- vastaan
- mahdollistaa
- analyysi
- ja
- android
- omena
- Hakemus
- sovellukset
- arabi
- Archive
- OVAT
- ARM
- AS
- At
- hyökkäys
- Hyökkäävä
- yrityksiä
- Elokuu
- takaisin
- Kielto
- BE
- ovat
- välillä
- Biden
- Bidenin hallinto
- Iso
- Blogi
- selain
- Vika
- by
- Kampanja
- Kampanjat
- CAN
- kyvyt
- Kaappaaminen
- kuljettaa
- tapaus
- ketju
- kahleet
- kuvata
- kromi
- kromi
- lähellä
- koodi
- kaupallinen
- yritys
- täydellinen
- kompromissi
- ehto
- sekaannus
- Luominen
- Tällä hetkellä
- asiakas
- Vaarallinen
- tumma
- Pimeää luettavaa
- tiedot
- joulukuu
- toimitettu
- osoittaa
- sijoittaa
- on kuvattu
- kehittää
- kehitetty
- laite
- Laitteet
- DID
- löysi
- selvä
- kuljettaja
- kukin
- ponnisteluja
- myöskään
- Emirates
- mahdollistaa
- mahdollistaa
- laajenemisen
- teloitus
- johtaja
- toimeenpaneva määräys
- asiantuntemus
- Käyttää hyväkseen
- hyväksikäyttö
- hyödynnetään
- hyödyntää
- silmä
- Falls
- Liitto-
- Liittovaltion hallitus
- filee
- lopullinen
- Etunimi
- Korjata
- kiinteä
- virhe
- varten
- löytyi
- alkaen
- täysin
- Hallitus
- hallitukset
- GPS
- GPU
- Ryhmä
- hakkerointi
- Palvelimet
- Olla
- auttaa
- tätä
- erittäin
- historiallisesti
- hotellit
- Miten
- Kuitenkin
- HTML
- http
- HTTPS
- ihmisen
- ihmisoikeudet
- identtinen
- tärkeä
- in
- sisältää
- mukana
- sisältää
- Mukaan lukien
- sisällyttää
- indikaattorit
- henkilöt
- tiedot
- ensimmäinen
- ensin
- asentaa
- kansainvälisesti
- Internet
- osallistuva
- iOS
- iPhone
- kysymys
- Annettu
- IT
- Italia
- tammikuu
- JIT
- journalistit
- jpg
- Kazakstan
- pito
- Tietää
- lasku
- Sukunimi
- uusin
- Lait
- vuotaa
- juridinen
- kirjastot
- Todennäköisesti
- rajallinen
- LINK
- linkit
- linux
- Lista
- vähän
- sijaitsevat
- sijainti
- logistiikka
- Malesia
- Valmistajat
- maaliskuu
- Maksimoida
- Puhelinnumero
- mobiililaitteet
- lisää
- eniten
- moninkertainen
- kansallinen
- uutiset
- NIST
- huomattava
- marraskuu
- of
- on
- ONE
- OPPO
- tilata
- muuten
- hahmoteltu
- sivulla
- erityinen
- kumppani
- läikkä
- Merkit
- Pegasus
- aika
- pixel
- Platforms
- Platon
- Platonin tietotieto
- PlatonData
- poliitikot
- Suosittu
- mahdollinen
- Kirje
- mahdollinen
- mahdollisesti
- esittää
- Aikaisempi
- tuotanto
- suojella
- mikäli
- tarjoamalla
- tarkoituksiin
- kysymykset
- nopeasti
- Rotu
- tutka
- RE
- Lue
- Lukeminen
- äskettäinen
- suhteen
- vapauta
- julkaistu
- kaukosäädin
- raportoitu
- tarvitaan
- Tutkijat
- vastaus
- johtua
- Revealed
- oikeudet
- juoksu
- s
- Said
- Samsung
- hiekkalaatikko
- kohtaus
- Näytön
- Toinen
- Myydään
- erillinen
- useat
- Jaa:
- Lyhyt
- näyttää
- merkitys
- Yksinkertainen
- koska
- älypuhelimet
- SMS
- Tuotteemme
- kuulostaa
- spyware
- niin
- sviitti
- valvonta
- TAG
- ottaa
- Kohde
- kohdennettu
- Tekninen
- tekniikat
- Technologies
- että
- -
- heidän
- Niitä
- Nämä
- tällä viikolla
- uhkaus
- uhka toimijat
- kolmella
- aika
- että
- työkalut
- raita
- Seuranta
- UAE
- varten
- Yhtenäinen
- Yhdistyneet Arabiemiirikunnat
- Päivitykset
- päivitetty
- käyttää
- Käyttäjät
- eri
- myyjä
- myyjät
- versio
- kautta
- Vierailijat
- haavoittuvuuksia
- alttius
- tavalla
- verkkopaketti
- Verkkosivu
- sivustot
- viikko
- HYVIN
- Mitä
- joka
- with
- sisällä
- Referenssit
- työskenteli
- työntekijöitä
- olisi
- kirjoittaa
- Xiaomi
- zephyrnet
