Badacze z Google Threat Analysis Group (TAG) odkryli dwie oddzielne, ściśle ukierunkowane kampanie, które wykorzystują różne, niezałatane exploity dnia zerowego przeciwko użytkownikom telefonów iPhone i smartfonów z systemem Android w celu wdrożenia spyware.
Odkrycia — ujawnione w blogu z 29 marca — są wynikiem aktywnego śledzenia prowadzonych przez Google TAG dostawców komercyjnego oprogramowania szpiegującego, przy czym ponad 30 z nich jest obecnie na ekranie radaru, twierdzą naukowcy. Dostawcy ci sprzedają exploity lub możliwości nadzoru sponsorowanym przez państwo podmiotom zagrażającym, „umożliwiając w ten sposób rozprzestrzenianie niebezpiecznych narzędzi hakerskich i uzbrajając rządy, które nie byłyby w stanie samodzielnie rozwinąć tych możliwości” – napisali badacze. Zauważyli, że są one często wykorzystywane do ataków na dysydentów, dziennikarzy, działaczy na rzecz praw człowieka i polityków partii opozycji w sposób potencjalnie zagrażający życiu.
Korzystanie z technologii nadzoru jest obecnie legalne na mocy większości przepisów krajowych i międzynarodowych, a rządy nadużywają tych przepisów i technologii, aby atakować osoby, które nie są zgodne z ich programami. Jednakże, ponieważ nadużycie to znalazło się pod międzynarodową kontrolą w związku z ujawnieniem nadużyć ze strony rządów Mobilne oprogramowanie szpiegowskie Pegasus firmy NSO Group dotarcie do użytkowników iPhone'a, zarówno regulatorów, jak i sprzedawców były rozpadnięcie się w sprawie produkcji i wykorzystania komercyjnego oprogramowania szpiegującego.
W rzeczywistości 28 marca administracja Bidena wydała rozporządzenie wykonawcze, które nie stanowi całkowitego zakazu oprogramowania szpiegującego, ale ogranicza użycie komercyjnych narzędzi nadzoru przez rząd federalny.
Ustalenia Google z tego tygodnia pokazują, że wysiłki te niewiele zrobiły, aby udaremnić scenę komercyjnego oprogramowania szpiegującego i „podkreślają stopień, w jakim komercyjni dostawcy systemów nadzoru rozpowszechnili możliwości, z których w przeszłości korzystały wyłącznie rządy posiadające wiedzę techniczną do opracowywania i operacjonalizacji exploitów” – badacze z TAG napisał w poście.
W szczególności badacze odkryli dwie „odrębne, ograniczone i wysoce ukierunkowane” kampanie skierowane do użytkowników Androida, iOS i Chrome na urządzeniach mobilnych. Obydwa wykorzystują exploity typu zero-day i n-day. Jeśli chodzi o ten ostatni przypadek, w kampaniach w szczególności wykorzystuje się okres pomiędzy wydaniem przez dostawców poprawek luk w zabezpieczeniach a momentem, w którym producenci sprzętu faktycznie aktualizują te łatki na urządzeniach użytkowników końcowych, tworząc exploity dla niezałatanych platform – twierdzą badacze.
Pokazuje to, że autorzy exploitów uważnie obserwują luki w zabezpieczeniach, które mogą wykorzystać do niegodziwych celów, i według TAG prawdopodobnie zawierają zmowę, aby zmaksymalizować potencjał wykorzystania ich do naruszenia bezpieczeństwa docelowych urządzeń. Kampanie sugerują również, że dostawcy oprogramowania do monitorowania dzielą się exploitami i technikami umożliwiającymi rozprzestrzenianie się niebezpiecznych narzędzi hakerskich, napisali badacze w poście.
Kampania dotycząca oprogramowania szpiegującego dla iOS/Androida
Pierwsza opisana przez badaczy kampania została wykryta w listopadzie i wykorzystuje dwie luki w iOS i trzy w Androidzie, w tym co najmniej jedną lukę typu zero-day każda.
Badacze odkryli, że początkowe próby dostępu miały wpływ zarówno na urządzenia z systemem Android, jak i iOS, które zostały dostarczone za pośrednictwem linki bit.ly wysyłane SMS-em dla użytkowników we Włoszech, Malezji i Kazachstanie – stwierdzili. Linki przekierowywały odwiedzających do stron zawierających exploity dla systemu Android lub iOS, a następnie do legalnych witryn — „takich jak strona do śledzenia przesyłek włoskiej firmy spedycyjnej i logistycznej BRT lub popularna malezyjska witryna z wiadomościami” – napisali badacze w Poczta.
Łańcuch exploitów iOS atakował wersje wcześniejsze niż 15.1 i zawierał exploit wykorzystujący lukę w zdalnym wykonywaniu kodu (RCE) WebKit, śledzoną jako CVE-2022-42856, ale dzień zerowy w momencie exploita. Wiąże się to z problemem pomylenia typów w kompilatorze JIT. Exploit wykorzystywał technikę obejścia PAC naprawione w marcu 2022 r. przez firmę Apple. W ataku wykorzystano także błąd ucieczki z piaskownicy i eskalacji uprawnień w AGXAccelerator, śledzony jako CVE-2021-30900, który został naprawiony przez firmę Apple w iOS 15.1.
Badacze twierdzą, że ostatecznym ładunkiem kampanii na iOS był prosty stager, który wysyła polecenie ping do lokalizacji GPS urządzenia, a także umożliwia atakującemu zainstalowanie pliku .IPA (archiwum aplikacji dla systemu iOS) na dotkniętym telefonie. Plik ten może zostać wykorzystany do kradzieży informacji.
Badacze twierdzą, że łańcuch exploitów dla Androida uwzględniony w kampanii był skierowany do użytkowników urządzeń wyposażonych w procesor graficzny ARM z przeglądarką Chrome w wersjach wcześniejszych niż 106. Wykorzystano trzy luki: CVE-2022-3723, luka w zabezpieczeniach przeglądarki Chrome związana z pomyleniem typów naprawiono w październiku ubiegłego rokur w wersji 107.0.5304.87, CVE-2022-4135, obejście piaskownicy GPU w Chrome, wpływające tylko na Androida, które było dniem zerowym, gdy zostało wykorzystane i naprawione w listopadzie, oraz CVE-2022-38181, A błąd eskalacji uprawnień naprawiony przez ARM ostatni sierpień.
Znaczenie ataków na ARM i CVE-2022-38181 polega w szczególności na tym, że kiedy po raz pierwszy wypuszczono łatkę usuwającą tę lukę, kilku dostawców — w tym Pixel, Samsung, Xiaomi i Oppo — nie dołączyło łatki, dając atakującym kilka miesięcy do swobodnego wykorzystania błędu – twierdzą naukowcy.
Kampania cyberszpiegowska dotycząca przeglądarki Samsung
W grudniu badacze Google TAG odkryli drugą kampanię obejmującą pełny łańcuch exploitów wykorzystujących zarówno dni zerowe, jak i n-dniowe do kierowania na najnowszą wersję przeglądarki internetowej Samsung. Przeglądarka działa na Chromium 102 i nie została zaktualizowana w celu uwzględnienia najnowszych zabezpieczeń, które wymagałyby od atakujących wykonania dodatkowej pracy w celu przeprowadzenia exploita – twierdzą badacze.
Badacze twierdzą, że atakujący dostarczali exploity za pomocą jednorazowych łączy wysyłanych za pomocą wiadomości SMS na urządzenia znajdujące się w Zjednoczonych Emiratach Arabskich (ZEA). Link kierował użytkowników do strony docelowej identycznej z tą obecną w Ramy Helikonii opracowany przez komercyjnego dostawcę oprogramowania szpiegującego Variston – dodali.
W tym przypadku ładunkiem exploita był oparty na języku C++ „w pełni funkcjonalny pakiet oprogramowania szpiegującego dla Androida”, który zawierał biblioteki do odszyfrowywania i przechwytywania danych z różnych aplikacji do czatowania i przeglądarek – napisali badacze. Podejrzewają, że zaangażowany podmiot może być klientem, partnerem lub innym bliskim współpracownikiem Variston.
W łańcuchu wykorzystano wady CVE-2022-4262, luka w zabezpieczeniach przeglądarki Chrome powodująca pomylenie typów, która w momencie wykorzystania miała wartość dnia zerowego, CVE-2022-3038, ucieczka z piaskownicy w przeglądarce Chrome naprawiona w wersji 105 w czerwcu 2022 r., CVE-2022-22706, luka w Sterownik jądra procesora graficznego Mali naprawiony przez ARM w styczniu 2022 r. oraz CVE-2023-0266, luka w zabezpieczeniach podsystemu dźwiękowego jądra Linuksa zapewniająca dostęp do odczytu i zapisu jądra w dniu zerowym w momencie wykorzystania.
„Łańcuch exploitów wykorzystał także wielokrotny wyciek informacji z jądra typu zero-day podczas wykorzystywania CVE-2022-22706 i CVE-2023-0266”, o czym Google poinformował ARM i Samsung – napisali badacze.
Ograniczanie oprogramowania szpiegującego i ochrona użytkowników mobilnych
Badacze z TAG przedstawili listę wskaźników kompromisu (IoC), aby pomóc użytkownikom urządzeń dowiedzieć się, czy są one celem kampanii. Podkreślili również, jak ważne jest, aby dostawcy i użytkownicy aktualizowali swoje urządzenia mobilne najnowszymi łatkami tak szybko, jak to możliwe po wykryciu luk w zabezpieczeniach i/lub exploitów.
„Wielkim wnioskiem byłoby korzystanie z w pełni zaktualizowanego oprogramowania na w pełni zaktualizowanych urządzeniach” – twierdzą badacze Google TAG w odpowiedzi na pytania zadane przez Dark Reading. „W tym przypadku żaden z opisanych łańcuchów exploitów nie zadziałałby”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://www.darkreading.com/attacks-breaches/google-spyware-governments-zero-day-exploits
- :Jest
- 1
- 2022
- 28
- 7
- a
- Zdolny
- nadużycie
- dostęp
- Stosownie
- aktywny
- aktorzy
- faktycznie
- w dodatku
- Dodatkowy
- administracja
- Korzyść
- oddziaływać
- wpływający
- Program Partnerski
- Po
- przed
- pozwala
- analiza
- i
- android
- Apple
- Zastosowanie
- aplikacje
- Arabki
- Archiwum
- SĄ
- ARM
- AS
- At
- atakować
- Napadający
- Próby
- Sierpnia
- z powrotem
- Zakaz
- BE
- jest
- pomiędzy
- Biden
- Administracja Biden
- Duży
- Blog
- przeglądarka
- Bug
- by
- Kampania
- Kampanie
- CAN
- możliwości
- Przechwytywanie
- nieść
- walizka
- łańcuch
- więzy
- charakteryzować
- Chrom
- chrom
- Zamknij
- kod
- handlowy
- sukcesy firma
- kompletny
- kompromis
- warunek
- zamieszanie
- Tworzenie
- Obecnie
- klient
- Niebezpieczny
- Ciemny
- Mroczne czytanie
- dane
- grudzień
- dostarczona
- demonstruje
- rozwijać
- opisane
- rozwijać
- rozwinięty
- urządzenie
- urządzenia
- ZROBIŁ
- odkryty
- odrębny
- kierowca
- każdy
- starania
- bądź
- Arabskie
- umożliwiać
- umożliwiając
- eskalacja
- egzekucja
- wykonawczy
- zarządzenie wykonawcze
- ekspertyza
- Wykorzystać
- eksploatacja
- eksploatowany
- exploity
- oko
- Spada
- Federalny
- Rząd federalny
- filet
- finał
- i terminów, a
- Fix
- ustalony
- wada
- W razie zamówieenia projektu
- znaleziono
- od
- w pełni
- Rząd
- Rządy
- GPS
- GPU
- Zarządzanie
- włamanie
- sprzęt komputerowy
- Have
- pomoc
- tutaj
- wysoko
- historycznie
- Hosting
- W jaki sposób
- Jednak
- HTML
- http
- HTTPS
- człowiek
- prawa człowieka
- identiques
- ważny
- in
- zawierać
- włączony
- obejmuje
- Włącznie z
- włączać
- wskaźniki
- osób
- Informacja
- początkowy
- początkowo
- zainstalować
- na świecie
- Internet
- zaangażowany
- iOS
- iPhone
- problem
- Wydany
- IT
- Włochy
- styczeń
- JIT
- Dziennikarze
- jpg
- Kazachstan
- konserwacja
- Wiedzieć
- lądowanie
- Nazwisko
- firmy
- Laws
- przeciec
- Regulamin
- biblioteki
- Prawdopodobnie
- Ograniczony
- LINK
- linki
- linux
- Lista
- mało
- usytuowany
- lokalizacja
- logistyka
- Malezja
- Producenci
- March
- Maksymalizuj
- Aplikacje mobilne
- urządzenia mobilne
- jeszcze
- większość
- wielokrotność
- narodowy
- aktualności
- nist
- zauważyć
- listopad
- of
- on
- ONE
- OPPO
- zamówienie
- Inaczej
- opisane
- strona
- szczególny
- partnerem
- Łata
- Łatki
- Pegasus
- okres
- piksel
- Platformy
- plato
- Analiza danych Platona
- PlatoDane
- Politycy
- Popularny
- możliwy
- Post
- potencjał
- potencjalnie
- teraźniejszość
- Wcześniejszy
- Produkcja
- ochrony
- pod warunkiem,
- że
- cele
- pytania
- szybko
- Wyścig
- radar
- RE
- Czytaj
- Czytający
- niedawny
- w sprawie
- zwolnić
- wydany
- zdalny
- Zgłoszone
- wymagany
- Badacze
- odpowiedź
- dalsze
- Ujawnił
- prawa
- bieganie
- s
- Powiedział
- Samsung
- piaskownica
- scena
- Ekran
- druga
- sprzedać
- oddzielny
- kilka
- Share
- Short
- pokazać
- znaczenie
- Prosty
- ponieważ
- smartfony
- SMS
- Tworzenie
- Dźwięk
- spyware
- taki
- apartament
- inwigilacja
- TAG
- Brać
- cel
- ukierunkowane
- Techniczny
- Techniki
- Technologies
- że
- Połączenia
- ich
- Im
- Te
- w tym tygodniu
- groźba
- podmioty grożące
- trzy
- czas
- do
- narzędzia
- śledzić
- Śledzenie
- ZEA
- dla
- Zjednoczony
- Zjednoczone Emiraty Arabskie
- Aktualizacja
- zaktualizowane
- posługiwać się
- Użytkownicy
- różnorodny
- sprzedawca
- sprzedawców
- wersja
- przez
- odwiedzający
- Luki w zabezpieczeniach
- wrażliwość
- sposoby
- zestaw internetowy
- Strona internetowa
- strony internetowe
- tydzień
- DOBRZE
- Co
- który
- w
- w ciągu
- Praca
- pracował
- pracowników
- by
- napisać
- Xiaomi
- zefirnet