Google: ज़ीरो-डे एक्सप्लॉइट्स से लदी सरकारों द्वारा उपयोग किया जाने वाला वाणिज्यिक स्पाइवेयर

Google के थ्रेट एनालिसिस ग्रुप (TAG) के शोधकर्ताओं ने दो अलग-अलग, उच्च-लक्षित अभियानों की खोज की है, जो iPhone और Android स्मार्टफोन दोनों के उपयोगकर्ताओं के खिलाफ विभिन्न, अप्रकाशित शून्य-दिन के कारनामों का उपयोग करते हैं। स्पायवेयर.

खोजों - में पता चला एक ब्लॉग पोस्ट 29 मार्च को - Google TAG द्वारा वाणिज्यिक स्पाइवेयर विक्रेताओं की सक्रिय ट्रैकिंग का परिणाम है, जिनमें से 30 से अधिक वर्तमान में रडार स्क्रीन पर हैं, शोधकर्ताओं ने कहा। शोधकर्ताओं ने लिखा, ये विक्रेता राज्य-प्रायोजित खतरे वाले अभिनेताओं को शोषण या निगरानी क्षमताएं बेचते हैं, इस प्रकार "खतरनाक हैकिंग टूल के प्रसार को सक्षम करते हैं, उन सरकारों को हथियार देते हैं जो इन क्षमताओं को विकसित करने में सक्षम नहीं होंगी।" उन्होंने बताया कि इनका इस्तेमाल अक्सर असंतुष्टों, पत्रकारों, मानवाधिकार कार्यकर्ताओं और विपक्षी दल के राजनेताओं को संभावित जीवन-घातक तरीकों से लक्षित करने के लिए किया जाता है।

निगरानी प्रौद्योगिकियों का उपयोग वर्तमान में अधिकांश राष्ट्रीय या अंतर्राष्ट्रीय कानूनों के तहत कानूनी है, और सरकारों ने उन व्यक्तियों को लक्षित करने के लिए इन कानूनों और प्रौद्योगिकियों का दुरुपयोग किया है जो उनके एजेंडे के साथ संरेखित नहीं हैं। हालाँकि, सरकारों के दुरुपयोग के खुलासे के कारण यह दुरुपयोग अंतरराष्ट्रीय जांच के दायरे में आ गया एनएसओ ग्रुप का पेगासस मोबाइल स्पाइवेयर iPhone उपयोगकर्ताओं को लक्षित करने के लिए, नियामक और विक्रेता समान किया गया है नीचे से टूटना वाणिज्यिक स्पाइवेयर के उत्पादन और उपयोग पर।

वास्तव में, 28 मार्च को, बिडेन प्रशासन ने एक कार्यकारी आदेश जारी किया जो स्पाइवेयर पर पूर्ण प्रतिबंध से कम है, लेकिन वाणिज्यिक निगरानी उपकरणों के उपयोग को प्रतिबंधित करता है संघीय सरकार द्वारा

इस सप्ताह Google के निष्कर्षों से पता चलता है कि उन प्रयासों ने वाणिज्यिक-स्पाइवेयर दृश्य को विफल करने के लिए बहुत कम काम किया है, और "यह रेखांकित करता है कि वाणिज्यिक निगरानी विक्रेताओं ने किस हद तक क्षमताओं का प्रसार किया है, ऐतिहासिक रूप से केवल तकनीकी विशेषज्ञता वाली सरकारों द्वारा शोषण को विकसित करने और संचालित करने के लिए उपयोग किया जाता है," TAG शोधकर्ता पोस्ट में लिखा.

विशेष रूप से, शोधकर्ताओं ने मोबाइल उपकरणों पर एंड्रॉइड, आईओएस और क्रोम के उपयोगकर्ताओं के उद्देश्य से दो "विशिष्ट, सीमित और अत्यधिक लक्षित" अभियानों की खोज की। दोनों शून्य-दिन के कारनामे और एन-दिन के कारनामे का उपयोग करते हैं। उत्तरार्द्ध के संबंध में, अभियान उस समय की अवधि का विशेष लाभ उठाते हैं जब विक्रेता कमजोरियों के लिए फिक्स जारी करते हैं और जब हार्डवेयर निर्माता वास्तव में उन पैच के साथ अंतिम-उपयोगकर्ता डिवाइस को अपडेट करते हैं, तो अनपैच किए गए प्लेटफ़ॉर्म के लिए शोषण बनाते हैं, शोधकर्ताओं ने कहा।

यह दर्शाता है कि शोषण करने वाले उन कमजोरियों पर कड़ी नजर रख रहे हैं जिनका वे नापाक उद्देश्यों के लिए फायदा उठा सकते हैं और टीएजी के अनुसार, लक्षित उपकरणों से समझौता करने के लिए उनका उपयोग करने की क्षमता को अधिकतम करने के लिए मिलीभगत कर रहे हैं। शोधकर्ताओं ने पोस्ट में लिखा है कि अभियान यह भी सुझाव देते हैं कि निगरानी सॉफ्टवेयर विक्रेता खतरनाक हैकिंग टूल के प्रसार को सक्षम करने के लिए कारनामे और तकनीक साझा करते हैं।

आईओएस/एंड्रॉइड स्पाइवेयर अभियान

शोधकर्ताओं ने जिस पहले अभियान की रूपरेखा तैयार की थी, उसे नवंबर में खोजा गया था और इसमें आईओएस में दो और एंड्रॉइड में तीन कमजोरियों का फायदा उठाया गया था, जिसमें कम से कम एक शून्य-दिन की खामी भी शामिल थी।

शोधकर्ताओं ने प्रारंभिक पहुंच प्रयासों को पाया जो एंड्रॉइड और आईओएस दोनों उपकरणों को प्रभावित करते हैं जिन्हें इसके माध्यम से वितरित किया गया था bit.ly लिंक एसएमएस पर भेजे गए उन्होंने कहा, इटली, मलेशिया और कजाकिस्तान में स्थित उपयोगकर्ताओं के लिए। लिंक आगंतुकों को एंड्रॉइड या आईओएस के लिए शोषण होस्ट करने वाले पृष्ठों पर पुनर्निर्देशित करते हैं, फिर उन्हें वैध वेबसाइटों पर पुनर्निर्देशित करते हैं - "जैसे कि इतालवी-आधारित शिपमेंट और लॉजिस्टिक्स कंपनी बीआरटी, या एक लोकप्रिय मलेशियाई समाचार वेबसाइट के लिए शिपमेंट को ट्रैक करने के लिए एक पृष्ठ," शोधकर्ताओं ने लिखा। पोस्ट।

आईओएस शोषण श्रृंखला ने 15.1 से पहले के संस्करणों को लक्षित किया और इसमें वेबकिट रिमोट कोड निष्पादन (आरसीई) दोष के लिए एक शोषण शामिल किया गया, जिसे इस प्रकार ट्रैक किया गया CVE-2022-42856, लेकिन शोषण के समय एक शून्य-दिन। इसमें JIT कंपाइलर के भीतर एक प्रकार का भ्रम का मुद्दा शामिल है, शोषण में PAC बाईपास तकनीक का उपयोग किया गया है Apple द्वारा मार्च 2022 में तय किया गया. हमले ने AGXAccelerator में सैंडबॉक्स एस्केप और विशेषाधिकार वृद्धि बग का भी फायदा उठाया, जिसे ट्रैक किया गया CVE-2021-30900, जिसे Apple द्वारा iOS 15.1 में ठीक किया गया था।

शोधकर्ताओं ने कहा कि iOS अभियान का अंतिम पेलोड एक साधारण स्टेजर था जो डिवाइस के जीपीएस स्थान को पिंग करता है और हमलावर को प्रभावित हैंडसेट पर एक .IPA फ़ाइल (iOS एप्लिकेशन संग्रह) स्थापित करने की अनुमति भी देता है। इस फ़ाइल का उपयोग जानकारी चुराने के लिए किया जा सकता है.

शोधकर्ताओं ने कहा कि अभियान में एंड्रॉइड शोषण श्रृंखला ने उन उपकरणों पर उपयोगकर्ताओं को लक्षित किया जो 106 से पहले क्रोम संस्करण चलाने वाले एआरएम जीपीयू का उपयोग करते हैं। तीन कमजोरियों का फायदा उठाया गया: CVE-2022-3723, क्रोम में एक प्रकार की भ्रम भेद्यता थी पिछले अक्टूबर में तय किया गयाr संस्करण 107.0.5304.87 में, CVE-2022-4135, क्रोम जीपीयू सैंडबॉक्स बाईपास केवल एंड्रॉइड को प्रभावित करता है जो नवंबर में शोषण और तय होने पर शून्य-दिन था, और CVE-2022-38181तक एआरएम द्वारा विशेषाधिकार वृद्धि बग को ठीक किया गया पिछले अगस्त में।

विशेष रूप से एआरएम और सीवीई-2022-38181 पर हमला करने का महत्व यह है कि जब इस दोष का समाधान शुरू में जारी किया गया था, तो पिक्सेल, सैमसंग, श्याओमी और ओप्पो सहित कई विक्रेताओं ने पैच को शामिल नहीं किया था, हमलावरों को कई महीने दिए शोधकर्ताओं ने कहा, बग का स्वतंत्र रूप से फायदा उठाने के लिए।

सैमसंग ब्राउज़र साइबर-जासूसी अभियान

Google TAG शोधकर्ताओं ने दूसरे अभियान की खोज की, जिसमें दिसंबर में सैमसंग इंटरनेट ब्राउज़र के नवीनतम संस्करण को लक्षित करने के लिए शून्य-दिन और एन-दिन दोनों का उपयोग करते हुए एक संपूर्ण शोषण श्रृंखला शामिल है। शोधकर्ताओं ने कहा कि ब्राउज़र क्रोमियम 102 पर चलता है और हाल के शमन को शामिल करने के लिए इसे अपडेट नहीं किया गया है, जिससे हमलावरों को शोषण को अंजाम देने के लिए अतिरिक्त काम करने की आवश्यकता होगी।

शोधकर्ताओं ने कहा कि हमलावरों ने संयुक्त अरब अमीरात (यूएई) में स्थित उपकरणों पर एसएमएस के माध्यम से भेजे गए एक बार के लिंक में कारनामे दिए। लिंक ने उपयोगकर्ताओं को मौजूदा लैंडिंग पृष्ठ के समान एक लैंडिंग पृष्ठ पर निर्देशित किया हेलिकोनिया ढाँचा उन्होंने कहा कि इसे वाणिज्यिक स्पाइवेयर विक्रेता वैरिस्टन द्वारा विकसित किया गया है।

शोधकर्ताओं ने लिखा, इस मामले में शोषण का पेलोड C++-आधारित, "पूरी तरह से विशेषताओं वाला एंड्रॉइड स्पाइवेयर सूट" था जिसमें विभिन्न चैट और ब्राउज़र अनुप्रयोगों से डेटा को डिक्रिप्ट करने और कैप्चर करने के लिए लाइब्रेरी शामिल थीं। उन्हें संदेह है कि इसमें शामिल अभिनेता वैरिस्टन का ग्राहक, भागीदार या अन्यथा करीबी सहयोगी हो सकता है।

श्रृंखला में खामियों का फायदा उठाया गया CVE-2022-4262, क्रोम में एक प्रकार की भ्रम भेद्यता जो शोषण के समय शून्य-दिन थी, CVE-2022-3038, क्रोम में सैंडबॉक्स एस्केप को जून 105 में संस्करण 2022 में ठीक किया गया, CVE-2022-22706, में एक भेद्यता एआरएम द्वारा माली जीपीयू कर्नेल ड्राइवर को ठीक किया गया जनवरी 2022 में, और CVE-2023-0266, लिनक्स कर्नेल साउंड सबसिस्टम में एक रेस कंडीशन भेद्यता जो कर्नेल को पढ़ने और लिखने की पहुंच प्रदान करती है जो शोषण के समय शून्य-दिन थी।

शोधकर्ताओं ने लिखा, "सीवीई-2022-22706 और सीवीई-2023-0266 का शोषण करते समय शोषण श्रृंखला ने शून्य-दिनों में एकाधिक कर्नेल जानकारी लीक का भी लाभ उठाया" जिसे Google ने एआरएम और सैमसंग को रिपोर्ट किया था।

स्पाइवेयर को सीमित करना और मोबाइल उपयोगकर्ताओं की सुरक्षा करना

TAG शोधकर्ताओं ने डिवाइस उपयोगकर्ताओं को यह जानने में मदद करने के लिए समझौता संकेतक (IoC) की एक सूची प्रदान की कि क्या उन्हें अभियानों द्वारा लक्षित किया जा रहा है। उन्होंने इस बात पर भी जोर दिया कि विक्रेताओं के साथ-साथ उपयोगकर्ताओं के लिए भी यह कितना महत्वपूर्ण है कि वे कमजोरियों और/या उनके लिए शोषण का पता चलने के बाद जितनी जल्दी हो सके अपने मोबाइल उपकरणों को नवीनतम पैच के साथ अपडेट करें।

डार्क रीडिंग द्वारा पूछे गए सवालों के जवाब में Google TAG शोधकर्ताओं का कहना है, "यहां एक बड़ा उपाय पूरी तरह से अपडेट किए गए उपकरणों पर पूरी तरह से अपडेट किए गए सॉफ़्टवेयर का उपयोग करना होगा।" "इस मामले में, वर्णित कोई भी शोषण श्रृंखला काम नहीं करेगी।"

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/attacks-breaches/google-spyware-governments-zero-day-exploits