Cercetătorii de la Google Threat Analysis Group (TAG) au descoperit două campanii separate, foarte bine direcționate, care utilizează diverse exploatații zero-day nepattchizate împotriva utilizatorilor ambelor smartphone-uri iPhone și Android pentru a le implementa spyware.
Descoperirile — dezvăluite în o postare pe blog pe 29 martie — sunt rezultatul urmăririi active pe care Google TAG o face furnizorilor comerciali de programe spion, cu peste 30 dintre ei în prezent pe ecranul radarului, au spus cercetătorii. Acești furnizori vând exploatări sau capacități de supraveghere actorilor de amenințări sponsorizați de stat, „permițând astfel proliferarea instrumentelor de hacking periculoase, înarmand guvernele care nu ar fi capabile să dezvolte aceste capacități în interior”, au scris cercetătorii. Acestea sunt adesea folosite pentru a viza dizidenți, jurnaliști, lucrători pentru drepturile omului și politicieni din partidele de opoziție în moduri care pot pune viața în pericol, au remarcat ei.
Utilizarea tehnologiilor de supraveghere este în prezent legală în conformitate cu majoritatea legilor naționale sau internaționale, iar guvernele au abuzat de aceste legi și tehnologii pentru a viza indivizi care nu se aliniază cu agendele lor. Cu toate acestea, din moment ce acest abuz a intrat sub control internațional din cauza dezvăluirii abuzurilor guvernelor Programul spion mobil Pegasus al Grupului NSO pentru a viza utilizatorii iPhone, autoritățile de reglementare și vânzătorii deopotrivă au fost trosnind privind producerea și utilizarea programelor spion comerciale.
De fapt, pe 28 martie, administrația Biden a emis un ordin executiv care nu ajunge la o interdicție totală a programelor spion, dar restricționează utilizarea instrumentelor comerciale de supraveghere de către guvernul federal.
Descoperirile Google de săptămâna aceasta arată că aceste eforturi nu au făcut nimic pentru a dejuca scena comercial-spyware și „subliniază măsura în care furnizorii de supraveghere comercială au proliferat capabilități folosite istoric doar de guverne cu expertiză tehnică pentru a dezvolta și opera exploatare”, cercetătorii TAG. a scris in postare.
Mai exact, cercetătorii au descoperit ceea ce caracterizează ca fiind două campanii „distincte, limitate și foarte bine direcționate” destinate utilizatorilor de Android, iOS și Chrome de pe dispozitive mobile. Ambele folosesc exploit-uri zero-day și exploit-uri n-day. În ceea ce privește acestea din urmă, campaniile profită în mod special de perioada de timp dintre momentul în care vânzătorii lansează remedieri pentru vulnerabilități și când producătorii de hardware actualizează efectiv dispozitivele utilizatorilor finali cu acele patch-uri, creând exploit-uri pentru platformele nepatchate, au spus cercetătorii.
Acest lucru demonstrează că cei care creează exploit-urile urmăresc îndeaproape vulnerabilitățile pe care le pot exploata în scopuri nefaste și probabil că se complică pentru a maximiza potențialul de a le folosi pentru a compromite dispozitivele vizate, potrivit TAG. Campaniile sugerează, de asemenea, că furnizorii de software de supraveghere împărtășesc exploatări și tehnici pentru a permite proliferarea instrumentelor de hacking periculoase, au scris cercetătorii în postare.
Campania de spyware iOS/Android
Prima campanie pe care au schițat-o cercetătorii a fost descoperită în noiembrie și exploatează două vulnerabilități în iOS și trei în Android, inclusiv cel puțin un defect zero-day fiecare.
Cercetătorii au descoperit încercări inițiale de acces care afectează atât dispozitivele Android, cât și iOS, care au fost livrate prin intermediul link-uri bit.ly trimise prin SMS utilizatorilor aflați în Italia, Malaezia și Kazahstan, au spus aceștia. Legăturile redirecționau vizitatorii către pagini care găzduiesc exploit-uri fie pentru Android, fie iOS, apoi i-au redirecționat către site-uri web legitime – „cum ar fi o pagină de urmărire a livrărilor pentru compania italiană de transport și logistică BRT sau un site web de știri popular din Malaezia”, au scris cercetătorii în bara.
Lanțul de exploit iOS viza versiuni anterioare versiunii 15.1 și includea un exploit pentru o eroare de execuție a codului la distanță (RCE) WebKit, urmărită ca CVE-2022-42856, dar o zi zero la momentul exploatării. Implica o problemă de confuzie de tip în cadrul compilatorului JIT, exploit-ul a folosit o tehnică de bypass PAC remediat în martie 2022 de către Apple. Atacul a exploatat, de asemenea, o eroare de evadare în sandbox și de escaladare a privilegiilor în AGXAccelerator, urmărită ca CVE-2021-30900, care a fost remediat de Apple în iOS 15.1.
Sarcina utilă finală a campaniei iOS a fost un simplu stager care indică locația GPS a dispozitivului și, de asemenea, permite atacatorului să instaleze un fișier .IPA (arhiva aplicației iOS) pe telefonul afectat, au spus cercetătorii. Acest fișier poate fi folosit pentru a fura informații.
Lanțul de exploatare Android din campanie a vizat utilizatorii de pe dispozitive care utilizează un GPU ARM care rulează versiuni Chrome anterioare 106, au spus cercetătorii. Au fost exploatate trei vulnerabilități: CVE-2022-3723, o vulnerabilitate de tip confuzie în Chrome care a fost reparat in octombrie trecutr în versiunea 107.0.5304.87, CVE-2022-4135, o ocolire a casetei de testare a GPU Chrome care afectează doar Android, care era o zi zero când a fost exploatat și remediat în noiembrie și CVE-2022-38181, A Bug de escaladare a privilegiilor remediat de ARM august trecut.
Semnificația atacului ARM și CVE-2022-38181 în special este că, atunci când soluția pentru acest defect a fost lansată inițial, mai mulți furnizori - inclusiv Pixel, Samsung, Xiaomi și Oppo - nu au încorporat patch-ul, oferind atacatorilor câteva luni pentru a exploata liber bug-ul, au spus cercetătorii.
Campanie de spionaj cibernetic pentru browserul Samsung
Cercetătorii Google TAG au descoperit cea de-a doua campanie, care include un lanț complet de exploatare folosind atât zile zero, cât și zile n pentru a viza cea mai recentă versiune a browserului de internet Samsung, în decembrie. Browserul rulează pe Chromium 102 și nu a fost actualizat pentru a include atenuări recente, care ar fi solicitat atacatorilor să facă muncă suplimentară pentru a realiza exploatarea, au spus cercetătorii.
Atacatorii au livrat exploit-urile prin legături unice trimise prin SMS către dispozitive situate în Emiratele Arabe Unite (UAE), au spus cercetătorii. Link-ul a direcționat utilizatorii către o pagină de destinație identică cu cea prezentă în Cadrul Heliconia dezvoltat de furnizorul comercial de programe spion Variston, au adăugat ei.
În acest caz, sarcina utilă a exploit-ului a fost o „suită de spyware Android complet”, bazată pe C++, care includea biblioteci pentru decriptarea și captarea datelor din diverse aplicații de chat și browser, au scris cercetătorii. Ei bănuiesc că actorul implicat poate fi un client, partener sau un afiliat apropiat al Variston.
Defectele exploatate în lanț au fost CVE-2022-4262, o vulnerabilitate de tip confuzie în Chrome, care era o zi zero la momentul exploatării, CVE-2022-3038, o evadare sandbox în Chrome remediată în versiunea 105 în iunie 2022, CVE-2022-22706, o vulnerabilitate în Mali GPU Kernel Driver remediat de ARM în ianuarie 2022 și CVE-2023-0266, o vulnerabilitate de condiție de cursă în subsistemul de sunet al nucleului Linux care oferă acces de citire și scriere la kernel care era o zi zero la momentul exploatării.
„Lanțul de exploatare a profitat, de asemenea, de scurgerile multiple de informații ale nucleului zero-days atunci când exploatează CVE-2022-22706 și CVE-2023-0266”, pe care Google le-a raportat ARM și Samsung, au scris cercetătorii.
Limitarea programelor spion și protejarea utilizatorilor de telefonie mobilă
Cercetătorii TAG au oferit o listă de indicatori de compromis (IoC) pentru a ajuta utilizatorii de dispozitive să știe dacă sunt vizați de campanii. Ei au subliniat, de asemenea, cât de important este pentru vânzători, precum și pentru utilizatori, să își actualizeze dispozitivele mobile cu cele mai recente patch-uri cât mai repede posibil după ce sunt descoperite vulnerabilități și/sau exploatații pentru ei.
„O concluzie importantă aici ar fi utilizarea software-ului complet actualizat pe dispozitive complet actualizate”, spun cercetătorii Google TAG ca răspuns la întrebările puse de Dark Reading. „În acest caz, niciunul dintre lanțurile de exploatare descrise nu ar fi funcționat.”
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://www.darkreading.com/attacks-breaches/google-spyware-governments-zero-day-exploits
- :este
- 1
- 2022
- 28
- 7
- a
- Capabil
- abuz
- acces
- Conform
- activ
- actori
- de fapt
- adăugat
- Suplimentar
- administrare
- Avantaj
- afecta
- care afectează
- Parteneri
- După
- împotriva
- permite
- analiză
- și
- Android
- Apple
- aplicație
- aplicatii
- arab
- arhivă
- SUNT
- ARM
- AS
- At
- ataca
- atacare
- Încercările
- August
- înapoi
- Interzice
- BE
- fiind
- între
- biden
- Administrația Biden
- Mare
- Blog
- browser-ul
- Bug
- by
- Campanie
- Campanii
- CAN
- capacități
- capturarea
- transporta
- caz
- lanţ
- lanţuri
- caracteriza
- Chrome
- crom
- Închide
- cod
- comercial
- companie
- Completă
- compromis
- condiție
- confuzie
- Crearea
- În prezent
- client
- Periculos
- Întuneric
- Lectură întunecată
- de date
- decembrie
- livrate
- demonstrează
- implementa
- descris
- dezvolta
- dezvoltat
- dispozitiv
- Dispozitive
- FĂCUT
- a descoperit
- distinct
- şofer
- fiecare
- Eforturile
- oricare
- emiratele
- permite
- permițând
- Escaladarea
- execuție
- executiv
- ordin executiv
- expertiză
- Exploata
- exploatare
- exploatat
- exploit
- ochi
- Falls
- federal
- Guvernul federal
- Fișier
- final
- First
- Repara
- fixată
- defect
- Pentru
- găsit
- din
- complet
- Guvern
- guvernele
- gps
- GPU
- grup
- hacking
- Piese metalice
- Avea
- ajutor
- aici
- extrem de
- istoricește
- găzduire
- Cum
- Totuși
- HTML
- http
- HTTPS
- uman
- drepturile omului
- identic
- important
- in
- include
- inclus
- include
- Inclusiv
- incorpora
- Indicatorii
- persoane fizice
- informații
- inițială
- inițial
- instala
- Internațional
- Internet
- implicat
- iOS
- iPhone
- problema
- Emis
- IT
- Italia
- ianuarie
- JIT
- jurnaliştii
- jpg
- Kazahstan
- păstrare
- Cunoaște
- aterizare
- Nume
- Ultimele
- legii
- scăpa
- Legal
- biblioteci
- Probabil
- Limitat
- LINK
- Link-uri
- linux
- Listă
- mic
- situat
- locaţie
- logistică
- Malaezia
- Producătorii
- Martie
- Maximaliza
- Mobil
- dispozitive mobile
- mai mult
- cele mai multe
- multiplu
- național
- ştiri
- nist
- notat
- noiembrie
- of
- on
- ONE
- OPPO
- comandă
- in caz contrar
- a subliniat
- pagină
- special
- partener
- Plasture
- Patch-uri
- Pegasus
- perioadă
- Pixel
- Platforme
- Plato
- Informații despre date Platon
- PlatoData
- politicienii
- Popular
- posibil
- Post
- potenţial
- potenţial
- prezenta
- anterior
- producere
- protectoare
- prevăzut
- furnizarea
- scopuri
- Întrebări
- repede
- Rasă
- radar
- RE
- Citeste
- Citind
- recent
- cu privire la
- eliberaţi
- eliberat
- la distanta
- Raportat
- necesar
- cercetători
- răspuns
- rezultat
- Dezvăluit
- Drepturile
- funcţionare
- s
- Said
- Samsung
- nisip
- scenă
- Ecran
- Al doilea
- vinde
- distinct
- câteva
- Distribuie
- Pantaloni scurți
- Arăta
- semnificație
- simplu
- întrucât
- smartphone-uri
- SMS-uri
- Software
- Suna
- spyware
- astfel de
- suită
- supraveghere
- TAG
- Lua
- Ţintă
- vizate
- Tehnic
- tehnici de
- Tehnologii
- acea
- lor
- Lor
- Acestea
- în această săptămână
- amenințare
- actori amenințători
- trei
- timp
- la
- Unelte
- urmări
- Urmărire
- EAU
- în
- Unit
- Emiratele Arabe Unite
- Actualizează
- actualizat
- utilizare
- utilizatorii
- diverse
- vânzător
- furnizori
- versiune
- de
- vizitatori
- Vulnerabilitățile
- vulnerabilitate
- modalități de
- WebKit
- website
- site-uri web
- săptămână
- BINE
- Ce
- care
- cu
- în
- Apartamente
- a lucrat
- muncitorii
- ar
- scrie
- Xiaomi
- zephyrnet
