I ricercatori del Threat Analysis Group (TAG) di Google hanno scoperto due campagne separate e altamente mirate che utilizzano vari exploit zero-day senza patch contro gli utenti di iPhone e smartphone Android per implementare spyware.
Le scoperte - rivelate in un post sul blog del 29 marzo - sono il risultato del monitoraggio attivo che Google TAG fa dei fornitori di spyware commerciali, con più di 30 di loro attualmente sul radar, hanno detto i ricercatori. Questi venditori vendono exploit o capacità di sorveglianza ad autori di minacce sponsorizzate dallo stato, “consentendo così la proliferazione di pericolosi strumenti di hacking, armando i governi che non sarebbero in grado di sviluppare queste capacità internamente”, hanno scritto i ricercatori. Questi sono spesso usati per prendere di mira dissidenti, giornalisti, operatori per i diritti umani e politici dei partiti di opposizione in modi potenzialmente pericolosi per la vita, hanno osservato.
L’uso delle tecnologie di sorveglianza è attualmente legale secondo la maggior parte delle leggi nazionali o internazionali, e i governi hanno abusato di queste leggi e tecnologie per prendere di mira individui che non sono in linea con i loro programmi. Tuttavia, da allora questo abuso è stato sottoposto a controllo internazionale a causa della rivelazione degli abusi da parte dei governi Spyware mobile Pegasus di NSO Group per rivolgersi agli utenti iPhone, regolatori e venditori allo stesso modo sono stati abbattendo sulla produzione e l'utilizzo di spyware commerciale.
Infatti, il 28 marzo, l’amministrazione Biden ha emesso un ordine esecutivo che non rappresenta un divieto assoluto dello spyware, ma limita l’uso di strumenti di sorveglianza commerciale dal governo federale.
I risultati di Google di questa settimana mostrano che questi sforzi hanno fatto ben poco per contrastare la scena dello spyware commerciale e "sottolineano la misura in cui i fornitori di sorveglianza commerciale hanno proliferato capacità storicamente utilizzate solo dai governi con le competenze tecniche per sviluppare e rendere operativi gli exploit", i ricercatori di TAG ha scritto nel post.
Nello specifico, i ricercatori hanno scoperto quelle che definiscono due campagne “distinte, limitate e altamente mirate” rivolte agli utenti di Android, iOS e Chrome su dispositivi mobili. Entrambi utilizzano exploit zero-day e n-day. Per quanto riguarda quest'ultimo, le campagne sfruttano in particolare il periodo di tempo che intercorre tra il momento in cui i fornitori rilasciano le correzioni per le vulnerabilità e il momento in cui i produttori di hardware aggiornano effettivamente i dispositivi degli utenti finali con tali patch, creando exploit per piattaforme prive di patch, hanno affermato i ricercatori.
Ciò dimostra che coloro che creano gli exploit tengono d'occhio le vulnerabilità che possono sfruttare per scopi nefasti e probabilmente stanno cospirando per massimizzare il potenziale di utilizzo per compromettere i dispositivi presi di mira, secondo TAG. Le campagne suggeriscono anche che i fornitori di software di sorveglianza condividano exploit e tecniche per consentire la proliferazione di pericolosi strumenti di hacking, hanno scritto i ricercatori nel post.
La campagna spyware per iOS/Android
La prima campagna delineata dai ricercatori è stata scoperta a novembre e sfrutta due vulnerabilità in iOS e tre in Android, inclusa almeno una falla zero-day ciascuna.
I ricercatori hanno riscontrato tentativi di accesso iniziali che interessano sia i dispositivi Android che quelli iOS forniti tramite link bit.ly inviati tramite SMS agli utenti situati in Italia, Malesia e Kazakistan, hanno affermato. I collegamenti reindirizzavano i visitatori a pagine che ospitavano exploit per Android o iOS, quindi li reindirizzavano a siti Web legittimi, “come una pagina per monitorare le spedizioni per la società di spedizioni e logistica con sede in Italia BRT, o un popolare sito Web di notizie malese”, hanno scritto i ricercatori in la posta.
La catena di exploit iOS prendeva di mira versioni precedenti alla 15.1 e includeva un exploit per un difetto di esecuzione di codice remoto (RCE) WebKit, tracciato come CVE-2022-42856, ma un giorno zero al momento dell'exploit. Implica un problema di confusione di tipo all'interno del compilatore JIT, l'exploit utilizzava una tecnica di bypass PAC risolto nel marzo 2022 da Apple. L'attacco ha anche sfruttato un bug di fuga dalla sandbox e di escalation dei privilegi in AGXAccelerator, tracciato come CVE-2021-30900, che è stato risolto da Apple in iOS 15.1.
Il payload finale della campagna iOS era un semplice stager che rileva la posizione GPS del dispositivo e consente inoltre all'aggressore di installare un file .IPA (archivio di applicazioni iOS) sul portatile interessato, hanno detto i ricercatori. Questo file può essere utilizzato per rubare informazioni.
La catena di exploit Android nella campagna ha preso di mira gli utenti di dispositivi che utilizzano una GPU ARM con versioni di Chrome precedenti alla 106, hanno affermato i ricercatori. Sono state sfruttate tre vulnerabilità: CVE-2022-3723, una vulnerabilità legata alla confusione di tipo in Chrome risolto lo scorso ottobrer nella versione 107.0.5304.87, CVE-2022-4135, un bypass del sandbox della GPU di Chrome che interessava solo Android e che si è rivelato un zero-day quando è stato sfruttato e risolto a novembre, e CVE-2022-38181, un bug di escalation dei privilegi risolto da ARM ultimo agosto.
L'importanza di attaccare ARM e CVE-2022-38181 in particolare è che quando la correzione di questo difetto è stata inizialmente rilasciata, diversi fornitori - tra cui Pixel, Samsung, Xiaomi e Oppo - non hanno incorporato la patch, dando agli aggressori diversi mesi per sfruttare liberamente il bug, hanno detto i ricercatori.
Campagna di cyberspionaggio sui browser Samsung
I ricercatori di Google TAG hanno scoperto la seconda campagna, che include una catena di exploit completa che utilizza sia zero-day che n-day per prendere di mira l'ultima versione di Samsung Internet Browser, a dicembre. Il browser funziona su Chromium 102 e non è stato aggiornato per includere le recenti mitigazioni, che avrebbero richiesto agli aggressori di svolgere ulteriore lavoro per portare a termine l'exploit, hanno affermato i ricercatori.
Gli aggressori hanno fornito gli exploit tramite collegamenti una tantum inviati via SMS a dispositivi situati negli Emirati Arabi Uniti (EAU), hanno affermato i ricercatori. Il collegamento indirizzava gli utenti a una pagina di destinazione identica a quella presente nel Quadro dell'Heliconia sviluppato dal fornitore di spyware commerciale Variston, hanno aggiunto.
Il carico utile dell'exploit in questo caso era una "suite spyware Android completa" basata su C++ che includeva librerie per decrittografare e acquisire dati da varie applicazioni di chat e browser, hanno scritto i ricercatori. Sospettano che l'attore coinvolto possa essere un cliente, un partner o comunque un affiliato stretto di Variston.
I difetti sfruttati nella catena erano CVE-2022-4262, una vulnerabilità legata alla confusione di tipo in Chrome che era zero-day al momento dello sfruttamento, CVE-2022-3038, una fuga sandbox in Chrome risolta nella versione 105 nel giugno 2022, CVE-2022-22706, una vulnerabilità in Driver del kernel GPU Mali risolto da ARM nel gennaio 2022 e CVE-2023-0266, una vulnerabilità race condition nel sottosistema audio del kernel Linux che fornisce accesso in lettura e scrittura al kernel che era zero-day al momento dello sfruttamento.
"La catena di exploit ha anche approfittato di molteplici fughe di informazioni sul kernel zero-day durante lo sfruttamento di CVE-2022-22706 e CVE-2023-0266" che Google ha segnalato ad ARM e Samsung, hanno scritto i ricercatori.
Limitazione dello spyware e protezione degli utenti mobili
I ricercatori di TAG hanno fornito un elenco di indicatori di compromissione (IoC) per aiutare gli utenti dei dispositivi a sapere se sono presi di mira dalle campagne. Hanno inoltre sottolineato quanto sia importante per i fornitori e per gli utenti aggiornare i propri dispositivi mobili con le patch più recenti il più rapidamente possibile dopo che vengono scoperte vulnerabilità e/o exploit.
"Un grande vantaggio qui sarebbe quello di utilizzare software completamente aggiornato su dispositivi completamente aggiornati", affermano i ricercatori di Google TAG in risposta alle domande poste da Dark Reading. "In questo caso, nessuna delle catene di exploit descritte avrebbe funzionato."
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.darkreading.com/attacks-breaches/google-spyware-governments-zero-day-exploits
- :È
- 1
- 2022
- 28
- 7
- a
- capace
- abuso
- accesso
- Secondo
- attivo
- attori
- effettivamente
- aggiunto
- aggiuntivo
- amministrazione
- Vantaggio
- influenzare
- che interessano
- Affiliazione
- Dopo shavasana, sedersi in silenzio; saluti;
- contro
- consente
- .
- ed
- androide
- Apple
- Applicazioni
- applicazioni
- arabo
- Archivio
- SONO
- ARM
- AS
- At
- attacco
- Attaccare
- Tentativi
- AGOSTO
- precedente
- Bandire
- BE
- essendo
- fra
- Biden
- Amministrazione Biden
- Big
- Blog
- del browser
- Insetto
- by
- Campagna
- Responsabile Campagne
- Materiale
- funzionalità
- Catturare
- trasportare
- Custodie
- catena
- Catene
- caratterizzare
- Chrome
- cromo
- Chiudi
- codice
- azienda
- completamento di una
- compromesso
- condizione
- confusione
- Creazione
- Attualmente
- cliente
- Pericoloso
- Scuro
- Lettura oscura
- dati
- Dicembre
- consegnato
- dimostra
- schierare
- descritta
- sviluppare
- sviluppato
- dispositivo
- dispositivi
- DID
- scoperto
- distinto
- autista
- ogni
- sforzi
- o
- emirati
- enable
- consentendo
- intensificazione
- esecuzione
- esecutivo
- ordine esecutivo
- competenza
- Sfruttare
- sfruttamento
- Exploited
- gesta
- occhio
- cadute
- Federale
- Governo federale
- Compila il
- finale
- Nome
- Fissare
- fisso
- difetto
- Nel
- essere trovato
- da
- completamente
- Enti Pubblici
- I governi
- GPS
- GPU
- Gruppo
- pirateria informatica
- Hardware
- Avere
- Aiuto
- qui
- vivamente
- storicamente
- di hosting
- Come
- Tuttavia
- HTML
- http
- HTTPS
- umano
- diritti umani
- identico
- importante
- in
- includere
- incluso
- inclusi
- Compreso
- incorporare
- individui
- informazioni
- inizialmente
- inizialmente
- install
- Internazionale
- Internet
- coinvolto
- iOS
- iPhone
- problema
- Rilasciato
- IT
- Italia
- Gennaio
- JIT
- Giornalisti
- jpg
- Kazakistan
- conservazione
- Sapere
- atterraggio
- Cognome
- con i più recenti
- Legislazione
- perdita
- Legale
- biblioteche
- probabile
- Limitato
- LINK
- Collegamento
- linux
- Lista
- piccolo
- collocato
- località
- logistica
- Malaysia
- Produttori
- Marzo
- Massimizzare
- Mobile
- dispositivi mobili
- Scopri di più
- maggior parte
- multiplo
- il
- notizie
- nista
- noto
- Novembre
- of
- on
- ONE
- OPPO
- minimo
- altrimenti
- delineato
- pagina
- particolare
- partner
- Toppa
- Patch
- Pegasus
- periodo
- pixel
- Piattaforme
- Platone
- Platone Data Intelligence
- PlatoneDati
- Politici
- Popolare
- possibile
- Post
- potenziale
- potenzialmente
- presenti
- Precedente
- Produzione
- proteggere
- purché
- fornitura
- fini
- Domande
- rapidamente
- Gara
- radar
- RE
- Leggi
- Lettura
- recente
- per quanto riguarda
- rilasciare
- rilasciato
- a distanza
- Segnalati
- necessario
- ricercatori
- risposta
- colpevole
- Rivelato
- diritti
- running
- s
- Suddetto
- Samsung
- sandbox
- scena
- allo
- Secondo
- venda
- separato
- alcuni
- Condividi
- Corti
- mostrare attraverso le sue creazioni
- significato
- Un'espansione
- da
- smartphone
- sms
- Software
- Suono
- spyware
- tale
- suite
- sorveglianza
- TAG
- Fai
- Target
- mirata
- Consulenza
- tecniche
- Tecnologie
- che
- Il
- loro
- Li
- Strumenti Bowman per analizzare le seguenti finiture:
- questa settimana
- minaccia
- attori della minaccia
- tre
- tempo
- a
- strumenti
- pista
- Tracking
- UAE
- per
- Unito
- Emirati Arabi Uniti
- Aggiornanento
- aggiornato
- uso
- utenti
- vario
- venditore
- fornitori
- versione
- via
- visitatori
- vulnerabilità
- vulnerabilità
- modi
- kit web
- Sito web
- siti web
- settimana
- WELL
- Che
- quale
- con
- entro
- Lavora
- lavorato
- lavoratori
- sarebbe
- scrivere
- Xiaomi
- zefiro
