Onderzoekers van de Threat Analysis Group (TAG) van Google hebben twee afzonderlijke, zeer gerichte campagnes ontdekt die gebruik maken van verschillende, niet-gepatchte zero-day-exploits tegen gebruikers van zowel iPhone- als Android-smartphones. spyware.
De ontdekkingen – onthuld in een blog post op 29 maart – zijn het resultaat van het actief volgen door Google TAG van commerciële spywareleveranciers, waarvan er momenteel meer dan 30 op het radarscherm staan, aldus de onderzoekers. Deze leveranciers verkopen exploits of surveillancemogelijkheden aan door de staat gesponsorde dreigingsactoren, waardoor “de verspreiding van gevaarlijke hackingtools mogelijk wordt gemaakt en regeringen worden bewapend die deze capaciteiten niet intern zouden kunnen ontwikkelen”, schreven de onderzoekers. Deze worden vaak gebruikt om dissidenten, journalisten, mensenrechtenwerkers en politici van oppositiepartijen op potentieel levensbedreigende manieren aan te vallen, merkten ze op.
Het gebruik van surveillancetechnologieën is momenteel legaal onder de meeste nationale en internationale wetten, en regeringen hebben deze wetten en technologieën misbruikt om individuen aan te vallen die niet in lijn zijn met hun agenda. Omdat dit misbruik echter onder internationaal toezicht kwam te staan vanwege de onthulling van misbruik door regeringen Pegasus mobiele spyware van NSO Group om iPhone-gebruikers te targeten, zowel toezichthouders als leveranciers zijn afbreken over de productie en het gebruik van commerciële spyware.
In feite vaardigde de regering-Biden op 28 maart een uitvoerend bevel uit dat niet in de buurt komt van een regelrecht verbod op spyware, maar beperkt het gebruik van commerciële surveillance-instrumenten door de federale overheid.
De bevindingen van Google van deze week laten zien dat deze inspanningen weinig hebben bijgedragen aan het tegenwerken van de commerciële spyware-scene, en “onderstrepen de mate waarin commerciële surveillanceleveranciers capaciteiten hebben verspreid die historisch gezien alleen werden gebruikt door overheden met de technische expertise om exploits te ontwikkelen en te exploiteren”, aldus TAG-onderzoekers. schreef in de post.
Concreet ontdekten de onderzoekers wat zij karakteriseren als twee ‘afzonderlijke, beperkte en zeer gerichte’ campagnes gericht op gebruikers van Android, iOS en Chrome op mobiele apparaten. Beide maken gebruik van zero-day-exploits en n-day-exploits. Wat dit laatste betreft, maken de campagnes vooral gebruik van de periode tussen het moment waarop leveranciers oplossingen voor kwetsbaarheden vrijgeven en het moment waarop de hardwarefabrikanten de apparaten van eindgebruikers daadwerkelijk updaten met die patches, waardoor exploits voor niet-gepatchte platforms ontstaan, aldus de onderzoekers.
Dit toont aan dat degenen die de exploits creëren de kwetsbaarheden nauwlettend in de gaten houden die ze voor snode doeleinden kunnen misbruiken en waarschijnlijk samenspannen om het potentieel te maximaliseren om deze te gebruiken om gerichte apparaten te compromitteren, aldus TAG. De campagnes suggereren ook dat leveranciers van surveillancesoftware exploits en technieken delen om de verspreiding van gevaarlijke hacktools mogelijk te maken, schreven de onderzoekers in de post.
De iOS/Android Spyware-campagne
De eerste campagne die onderzoekers schetsten werd in november ontdekt en maakt misbruik van twee kwetsbaarheden in iOS en drie in Android, waaronder elk minstens één zero-day-fout.
Onderzoekers hebben initiële toegangspogingen gevonden die van invloed zijn op zowel Android- als iOS-apparaten die zijn geleverd via bit.ly-links verzonden via sms voor gebruikers in Italië, Maleisië en Kazachstan, zeiden ze. De links stuurden bezoekers door naar pagina’s waarop exploits voor Android of iOS werden gehost, en stuurden ze vervolgens door naar legitieme websites – ‘zoals een pagina om zendingen te volgen voor het in Italië gevestigde transport- en logistieke bedrijf BRT, of een populaire Maleisische nieuwswebsite’, schreven onderzoekers in de post.
De iOS-exploitketen richtte zich op versies vóór 15.1 en omvatte een exploit voor een WebKit-fout op het gebied van externe code-uitvoering (RCE), bijgehouden als CVE-2022-42856, maar een zero-day op het moment van de exploit. Het gaat om een typeverwarringsprobleem binnen de JIT-compiler; de exploit maakte gebruik van een PAC-bypass-techniek opgelost in maart 2022 door Apple. Bij de aanval werd ook misbruik gemaakt van een sandbox-ontsnappings- en privilege-escalatiebug in AGXAccelerator, bijgehouden als CVE-2021-30900, dat door Apple is opgelost in iOS 15.1.
De uiteindelijke lading van de iOS-campagne was een eenvoudige stager die de GPS-locatie van het apparaat terugstuurt en de aanvaller ook in staat stelt een .IPA-bestand (iOS-applicatiearchief) op de getroffen handset te installeren, aldus onderzoekers. Dit bestand kan worden gebruikt om informatie te stelen.
De Android-exploitketen in de campagne richtte zich op gebruikers op apparaten die een ARM GPU gebruiken met Chrome-versies vóór 106, aldus de onderzoekers. Er werd misbruik gemaakt van drie kwetsbaarheden: CVE-2022-3723, een kwetsbaarheid voor typeverwarring in Chrome afgelopen oktober opgelostr in versie 107.0.5304.87, CVE-2022-4135, een Chrome GPU-sandbox-bypass die alleen Android treft en een zero-day was toen deze in november werd uitgebuit en gerepareerd, en CVE-2022-38181, een bug in privilege-escalatie opgelost door ARM afgelopen augustus.
Het belang van de aanval op ARM en CVE-2022-38181 in het bijzonder is dat toen de oplossing voor deze fout in eerste instantie werd uitgebracht, verschillende leveranciers – waaronder Pixel, Samsung, Xiaomi en Oppo – de patch niet hadden opgenomen. waardoor aanvallers enkele maanden de tijd krijgen om de bug vrijelijk te exploiteren, aldus onderzoekers.
Cyberspionagecampagne voor de Samsung-browser
Google TAG-onderzoekers ontdekten in december de tweede campagne, die een volledige exploitketen omvat waarbij zowel zero-days als n-days worden gebruikt om de nieuwste versie van de Samsung Internet Browser te targeten. De browser draait op Chromium 102 en is niet bijgewerkt met recente maatregelen, waardoor aanvallers extra werk zouden moeten doen om de exploit uit te voeren, aldus de onderzoekers.
Aanvallers brachten de exploits over in eenmalige links die via sms werden verzonden naar apparaten in de Verenigde Arabische Emiraten (VAE), aldus de onderzoekers. De link leidde gebruikers naar een landingspagina die identiek was aan de pagina in de Heliconia-framework ontwikkeld door commerciële spywareleverancier Variston, voegde ze eraan toe.
De lading van de exploit was in dit geval een op C++ gebaseerde, “volledig functionele Android-spywaresuite” die bibliotheken omvatte voor het decoderen en vastleggen van gegevens uit verschillende chat- en browserapplicaties, schreven de onderzoekers. Ze vermoeden dat de betrokken actor mogelijk een klant, partner of anderszins nauwe relatie van Variston is.
Er werd misbruik gemaakt van gebreken in de keten CVE-2022-4262, een kwetsbaarheid voor typeverwarring in Chrome die op het moment van misbruik een zero-day was, CVE-2022-3038, een sandbox-escape in Chrome opgelost in versie 105 in juni 2022, CVE-2022-22706, een kwetsbaarheid in Mali GPU Kernel Driver opgelost door ARM in januari 2022, en CVE-2023-0266, een race condition-kwetsbaarheid in het Linux-kernelgeluidssubsysteem dat lees- en schrijftoegang tot de kernel biedt die op het moment van exploitatie een zero-day was.
“De exploitketen profiteerde ook van meerdere kernelinformatielekken zero-days bij het exploiteren van CVE-2022-22706 en CVE-2023-0266”, meldden Google aan ARM en Samsung, schreven de onderzoekers.
Spyware beperken en mobiele gebruikers beschermen
TAG-onderzoekers hebben een lijst met indicatoren van compromissen (IoC) verstrekt om apparaatgebruikers te helpen weten of ze het doelwit zijn van de campagnes. Ze benadrukten ook hoe belangrijk het is voor zowel leveranciers als gebruikers om hun mobiele apparaten zo snel mogelijk te updaten met de nieuwste patches nadat kwetsbaarheden en/of exploits voor hen zijn ontdekt.
“Een grote afhaalmogelijkheid hier zou zijn om volledig bijgewerkte software te gebruiken op volledig bijgewerkte apparaten”, zeggen Google TAG-onderzoekers in antwoord op vragen van Dark Reading. “In dit geval zou geen van de beschreven exploitketens hebben gewerkt.”
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://www.darkreading.com/attacks-breaches/google-spyware-governments-zero-day-exploits
- :is
- 1
- 2022
- 28
- 7
- a
- in staat
- misbruik
- toegang
- Volgens
- actieve
- actoren
- werkelijk
- toegevoegd
- Extra
- administratie
- Voordeel
- invloed hebben op
- die van invloed
- Affiliate
- Na
- tegen
- toestaat
- analyse
- en
- android
- Apple
- Aanvraag
- toepassingen
- Arabisch
- Archief
- ZIJN
- ARM
- AS
- At
- aanvallen
- Aanvallen
- pogingen
- Augustus
- terug
- ban
- BE
- wezen
- tussen
- biden
- Biden-administratie
- Groot
- Blog
- browser
- Bug
- by
- Campagne
- Campagnes
- CAN
- mogelijkheden
- Het vastleggen
- dragen
- geval
- keten
- ketens
- karakteriseren
- Chrome
- chromium
- Sluiten
- code
- commercieel
- afstand
- compleet
- compromis
- voorwaarde
- verwarring
- Wij creëren
- Op dit moment
- klant
- gevaarlijk
- Donker
- Donkere lezing
- gegevens
- December
- geleverd
- demonstreert
- implementeren
- beschreven
- ontwikkelen
- ontwikkelde
- apparaat
- systemen
- DEED
- ontdekt
- onderscheiden
- bestuurder
- elk
- inspanningen
- beide
- emiraten
- in staat stellen
- waardoor
- escalatie
- uitvoering
- uitvoerend
- uitvoerende orde
- expertise
- Exploiteren
- exploitatie
- Exploited
- exploits
- oog
- Falls
- Federaal
- Federale overheid
- Dien in
- finale
- Voornaam*
- Bepalen
- vast
- fout
- Voor
- gevonden
- oppompen van
- geheel
- Kopen Google Reviews
- Overheid
- overheden
- gps
- GPU
- Groep
- hacking
- Hardware
- Hebben
- hulp
- hier
- zeer
- historisch
- Hosting
- Hoe
- Echter
- HTML
- http
- HTTPS
- menselijk
- rechten van de mens
- identiek
- belangrijk
- in
- omvatten
- inclusief
- omvat
- Inclusief
- nemen
- indicatoren
- individuen
- informatie
- eerste
- eerste
- installeren
- Internationale
- Internet
- betrokken zijn
- iOS
- iPhone
- kwestie
- Uitgegeven
- IT
- Italië
- Januari
- JIT
- Journalisten
- jpg
- Kazachstan
- houden
- blijven
- landing
- Achternaam*
- laatste
- Wetten
- lekken
- Juridisch
- bibliotheken
- Waarschijnlijk
- Beperkt
- LINK
- links
- linux
- Lijst
- Elke kleine stap levert grote resultaten op!
- gelegen
- plaats
- logistiek
- Maleisië
- Fabrikanten
- Maart
- Maximaliseren
- Mobile
- mobiele toestellen
- meer
- meest
- meervoudig
- nationaal
- nieuws
- NIST
- bekend
- November
- of
- on
- EEN
- OPPO
- bestellen
- anders-
- geschetst
- pagina
- bijzonder
- partner
- Patch
- Patches
- Pegasus
- periode
- pixel
- platforms
- Plato
- Plato gegevensintelligentie
- PlatoData
- Politici
- Populair
- mogelijk
- Post
- potentieel
- mogelijk
- presenteren
- Voorafgaand
- productie
- beschermen
- mits
- het verstrekken van
- doeleinden
- Contact
- snel
- Race
- radar
- RE
- Lees
- lezing
- recent
- met betrekking tot
- los
- uitgebracht
- vanop
- gemeld
- nodig
- onderzoekers
- antwoord
- resultaat
- Revealed
- rechten
- lopend
- s
- Zei
- Samsung
- zandbak
- scène
- scherm
- Tweede
- verkopen
- apart
- verscheidene
- Delen
- Bermuda's
- tonen
- betekenis
- Eenvoudig
- sinds
- smartphones
- SMS
- Software
- Geluid
- spyware
- dergelijk
- suite
- toezicht
- TAG
- Nemen
- doelwit
- doelgerichte
- Technisch
- technieken
- Technologies
- dat
- De
- hun
- Ze
- Deze
- deze week
- bedreiging
- bedreigingsactoren
- drie
- niet de tijd of
- naar
- tools
- spoor
- Tracking
- Verenigde Arabische Emiraten
- voor
- United
- Verenigde Arabische Emiraten
- bijwerken
- bijgewerkt
- .
- gebruikers
- divers
- verkoper
- vendors
- versie
- via
- bezoekers
- kwetsbaarheden
- kwetsbaarheid
- manieren
- webkit
- Website
- websites
- week
- GOED
- Wat
- welke
- Met
- binnen
- Mijn werk
- werkte
- werknemers
- zou
- schrijven
- Xiaomi
- zephyrnet
