Google: Kommersiell spionvare som brukes av myndigheter lastet med nulldagers utnyttelse

Forskere fra Googles Threat Analysis Group (TAG) har oppdaget to separate, svært målrettede kampanjer som bruker forskjellige, uoppdaterte nulldagers utnyttelser mot brukere av både iPhone- og Android-smarttelefoner for å distribuere spyware.

Oppdagelsene - avslørt i et blogginnlegg 29. mars – er resultatet av aktiv sporing som Google TAG gjør av kommersielle spionvareleverandører, med mer enn 30 av dem på radarskjermen, sa forskerne. Disse leverandørene selger utnyttelser eller overvåkingsevner til statsstøttede trusselaktører, og "muliggjør dermed spredning av farlige hackingverktøy, bevæpning av regjeringer som ikke ville være i stand til å utvikle disse egenskapene internt," skrev forskerne. Disse brukes ofte til å målrette mot dissidenter, journalister, menneskerettighetsarbeidere og opposisjonspartipolitikere på potensielt livstruende måter, bemerket de.

Bruken av overvåkingsteknologi er for tiden lovlig under de fleste nasjonale eller internasjonale lover, og myndigheter har misbrukt disse lovene og teknologiene for å målrette mot enkeltpersoner som ikke stemmer overens med deres agendaer. Men siden dette misbruket kom under internasjonal gransking på grunn av avsløringen av myndighetene som misbrukte NSO Groups Pegasus mobile spyware å målrette mot iPhone-brukere, både regulatorer og leverandører har vært sprekker om produksjon av og bruk av kommersielle spionprogrammer.

Faktisk utstedte Biden-administrasjonen den 28. mars en eksekutiv ordre som ikke samsvarer med et direkte forbud mot spyware, men begrenser bruken av kommersielle overvåkingsverktøy av den føderale regjeringen.

Googles funn denne uken viser at disse anstrengelsene har gjort lite for å hindre den kommersielle spionvarescenen, og «understreker i hvilken grad kommersielle overvåkingsleverandører har utbredt evner som historisk sett bare ble brukt av myndigheter med teknisk ekspertise til å utvikle og operasjonalisere utnyttelser», sier TAG-forskere. skrev i innlegget.

Spesielt oppdaget forskerne det de karakteriserer som to «distinkte, begrensede og svært målrettede» kampanjer rettet mot brukere av Android, iOS og Chrome på mobile enheter. Begge bruker null-dagers utnyttelser og n-dagers utnyttelser. Når det gjelder sistnevnte, drar kampanjene spesielt nytte av tidsperioden mellom leverandørene slipper rettelser for sårbarheter og når maskinvareprodusentene faktisk oppdaterer sluttbrukerenheter med disse oppdateringene, og skaper utnyttelser for uopprettede plattformer, sa forskerne.

Dette viser at de som oppretter utnyttelsene holder et øye med sårbarheter som de kan utnytte til ondsinnede formål og sannsynligvis samarbeider for å maksimere potensialet for å bruke dem til å kompromittere målrettede enheter, ifølge TAG. Kampanjene antyder også at leverandører av overvåkingsprogramvare deler utnyttelser og teknikker for å muliggjøre spredning av farlige hackingverktøy, skrev forskerne i innlegget.

iOS/Android-spionvarekampanjen

Den første kampanjen som forskerne skisserte ble oppdaget i november og utnytter to sårbarheter i iOS og tre i Android, inkludert minst én nulldagersfeil hver.

Forskere fant innledende tilgangsforsøk som påvirker både Android- og iOS-enheter som ble levert via bit.ly-lenker sendt over SMS til brukere i Italia, Malaysia og Kasakhstan, sa de. Lenkene omdirigerte besøkende til sider som hoster utnyttelser for enten Android eller iOS, og omdirigerte dem deretter til legitime nettsteder - "som en side for å spore forsendelser for det italiensk-baserte forsendelses- og logistikkselskapet BRT, eller et populært malaysisk nyhetsnettsted," skrev forskere i posten.

iOS-utnyttelseskjeden målrettet versjoner før 15.1 og inkluderte en utnyttelse for en WebKit ekstern kodeutførelse (RCE)-feil, sporet som CVE-2022-42856, men en null-dag på tidspunktet for utnyttelsen. Det involverer et typeforvirringsproblem i JIT-kompilatoren, utnyttelsen brukte en PAC-bypass-teknikk fikset i mars 2022 av Apple. Angrepet utnyttet også en sandkasse-escape- og rettighetseskaleringsfeil i AGXAccelerator, sporet som CVE-2021-30900, som ble fikset av Apple i iOS 15.1.

Den endelige nyttelasten til iOS-kampanjen var en enkel stager som pinger tilbake GPS-posisjonen til enheten og lar angriperen også installere en .IPA-fil (iOS-applikasjonsarkiv) på det berørte håndsettet, sa forskere. Denne filen kan brukes til å stjele informasjon.

Android-utnyttingskjeden i kampanjen målrettet brukere på enheter som bruker en ARM GPU som kjører Chrome-versjoner før 106, sa forskerne. Det ble utnyttet tre sårbarheter: CVE-2022-3723, en type forvirringssårbarhet i Chrome som var fikset i oktober i fjorr i versjon 107.0.5304.87, CVE-2022-4135, en Chrome GPU-sandbox-bypass som bare påvirker Android som var en null-dag da den ble utnyttet og rettet i november, og CVE-2022-38181en rettighetsopptrappingsfeil rettet av ARM forrige august.

Betydningen av å angripe ARM og CVE-2022-38181 spesielt er at da løsningen for denne feilen først ble utgitt, inkorporerte ikke flere leverandører – inkludert Pixel, Samsung, Xiaomi og Oppo – oppdateringen, gir angripere flere måneder å fritt utnytte feilen, sa forskere.

Samsung nettleser cyberspionasjekampanje

Google TAG-forskere oppdaget den andre kampanjen, som inkluderer en komplett utnyttelseskjede som bruker både null-dager og n-dager for å målrette mot den nyeste versjonen av Samsungs nettleser, i desember. Nettleseren kjører på Chromium 102 og har ikke blitt oppdatert til å inkludere nylige avbøtende tiltak, noe som ville ha krevd at angripere måtte gjøre ekstra arbeid for å utføre utnyttelsen, sa forskerne.

Angripere leverte utnyttelsene i engangslenker sendt via SMS til enheter lokalisert i De forente arabiske emirater (UAE), sa forskerne. Linken ledet brukere til en landingsside som er identisk med en som finnes i Heliconia rammeverk utviklet av den kommersielle spionvareleverandøren Variston, la de til.

Nyttelasten til utnyttelsen i dette tilfellet var en C++-basert, "fullverdig Android-spywaresuite" som inkluderte biblioteker for dekryptering og fangst av data fra ulike chat- og nettleserapplikasjoner, skrev forskerne. De mistenker at den involverte skuespilleren kan være en kunde, partner eller på annen måte nær tilknyttet Variston.

Feil utnyttet i kjeden var CVE-2022-4262, en type forvirringssårbarhet i Chrome som var en null-dag på tidspunktet for utnyttelse, CVE-2022-3038, en sandbox escape i Chrome fikset i versjon 105 i juni 2022, CVE-2022-22706, en sårbarhet i Mali GPU-kjernedriver fikset av ARM i januar 2022, og CVE-2023-0266, en sårbarhet for rasetilstand i Linux-kjernens lydundersystem som gir kjernelese- og skrivetilgang som var en null-dag på tidspunktet for utnyttelse.

"Utnyttelseskjeden utnyttet også flere kjerneinformasjonslekkasjer null dager når de utnyttet CVE-2022-22706 og CVE-2023-0266" som Google rapporterte til ARM og Samsung, skrev forskerne.

Begrensning av spyware og beskyttelse av mobilbrukere

TAG-forskere ga en liste over kompromissindikatorer (IoC) for å hjelpe enhetsbrukere å vite om de blir målrettet av kampanjene. De understreket også hvor viktig det er for leverandører så vel som brukere å oppdatere sine mobile enheter med de nyeste oppdateringene så raskt som mulig etter at sårbarheter og/eller utnyttelser for dem er oppdaget.

"En stor takeaway her ville være å bruke fullstendig oppdatert programvare på fullstendig oppdaterte enheter," sier Google TAG-forskere som svar på spørsmål stilt av Dark Reading. "I dette tilfellet ville ingen av utnyttelseskjedene som er beskrevet ha fungert."

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
• kilde: https://www.darkreading.com/attacks-breaches/google-spyware-governments-zero-day-exploits