Google: สปายแวร์เชิงพาณิชย์ที่รัฐบาลใช้โดยใช้ประโยชน์จาก Zero-day

นักวิจัยจาก Threat Analysis Group (TAG) ของ Google ได้ค้นพบแคมเปญที่มีเป้าหมายสูงแยกกัน XNUMX แคมเปญ ซึ่งใช้การเจาะช่องโหว่แบบ Zero-day แบบต่างๆ ที่ไม่ได้แพตช์กับผู้ใช้สมาร์ทโฟนทั้ง iPhone และ Android เพื่อปรับใช้ สปายแวร์.

การค้นพบ - เปิดเผยใน โพสต์บล็อก เมื่อวันที่ 29 มีนาคม — เป็นผลจากการติดตามอย่างแข็งขันที่ Google TAG ทำกับผู้จำหน่ายสปายแวร์เชิงพาณิชย์ ซึ่งมีมากกว่า 30 รายการอยู่บนหน้าจอเรดาร์ นักวิจัยกล่าว ผู้ค้าเหล่านี้ขายการหาประโยชน์หรือความสามารถในการเฝ้าระวังให้กับผู้คุกคามที่สนับสนุนโดยรัฐ ดังนั้นจึง "ช่วยให้มีการแพร่กระจายของเครื่องมือแฮ็กที่เป็นอันตราย ทำให้รัฐบาลไม่สามารถพัฒนาความสามารถเหล่านี้ภายในองค์กรได้" นักวิจัยเขียน สิ่งเหล่านี้มักถูกใช้เพื่อกำหนดเป้าหมายผู้เห็นต่าง นักข่าว เจ้าหน้าที่สิทธิมนุษยชน และนักการเมืองพรรคฝ่ายค้านในลักษณะที่อาจเป็นอันตรายถึงชีวิต

ปัจจุบัน การใช้เทคโนโลยีการสอดแนมถูกกฎหมายภายใต้กฎหมายในประเทศหรือกฎหมายระหว่างประเทศส่วนใหญ่ และรัฐบาลได้ใช้กฎหมายและเทคโนโลยีเหล่านี้ในทางที่ผิดเพื่อกำหนดเป้าหมายไปยังบุคคลที่ไม่สอดคล้องกับวาระการประชุมของพวกเขา อย่างไรก็ตาม เนื่องจากการละเมิดนี้อยู่ภายใต้การตรวจสอบระหว่างประเทศเนื่องจากการเปิดเผยของรัฐบาลในทางที่ผิด สปายแวร์มือถือ Pegasus ของ NSO Group เพื่อกำหนดเป้าหมายผู้ใช้ iPhone หน่วยงานกำกับดูแลและผู้ขายเหมือนกัน ได้รับ แตกลง เกี่ยวกับการผลิตและการใช้สปายแวร์เชิงพาณิชย์

ในความเป็นจริง เมื่อวันที่ 28 มีนาคม ฝ่ายบริหารของ Biden ได้ออกคำสั่งผู้บริหารที่ห้ามสปายแวร์โดยสิ้นเชิง แต่ จำกัดการใช้เครื่องมือเฝ้าระวังเชิงพาณิชย์ โดยรัฐบาลกลาง

การค้นพบของ Google ในสัปดาห์นี้แสดงให้เห็นว่าความพยายามเหล่านั้นแทบไม่ได้ขัดขวางฉากสปายแวร์เชิงพาณิชย์เลย และ "เน้นย้ำถึงขอบเขตที่ผู้ให้บริการเฝ้าระวังเชิงพาณิชย์มีความสามารถที่เพิ่มขึ้นในอดีต โดยรัฐบาลที่มีความเชี่ยวชาญด้านเทคนิคเท่านั้นที่ใช้ในการพัฒนาและดำเนินการหาประโยชน์" นักวิจัย TAG เขียนในโพสต์

โดยเฉพาะอย่างยิ่ง นักวิจัยได้ค้นพบสิ่งที่พวกเขากำหนดลักษณะของแคมเปญ "แตกต่าง จำกัด และตรงเป้าหมายสูง" สองแคมเปญที่มุ่งเป้าไปที่ผู้ใช้ Android, iOS และ Chrome บนอุปกรณ์เคลื่อนที่ ทั้งสองใช้การหาประโยชน์แบบ zero-day และการหาประโยชน์แบบ n-day แคมเปญดังกล่าวใช้ประโยชน์จากช่วงเวลาระหว่างที่ผู้ขายออกการแก้ไขช่องโหว่และเมื่อผู้ผลิตฮาร์ดแวร์อัปเดตอุปกรณ์ของผู้ใช้ปลายทางด้วยแพตช์เหล่านั้นจริง ๆ ซึ่งก่อให้เกิดช่องโหว่สำหรับแพลตฟอร์มที่ไม่ได้แพตช์ นักวิจัยกล่าว

สิ่งนี้แสดงให้เห็นว่าผู้ที่สร้างการหาประโยชน์นั้นคอยจับตาดูช่องโหว่ที่พวกเขาสามารถใช้ประโยชน์เพื่อวัตถุประสงค์ที่ชั่วร้าย และมีแนวโน้มที่จะสมรู้ร่วมคิดเพื่อเพิ่มศักยภาพสูงสุดในการใช้ช่องโหว่เหล่านั้นเพื่อประนีประนอมอุปกรณ์เป้าหมาย ตาม TAG แคมเปญดังกล่าวยังแนะนำให้ผู้จำหน่ายซอฟต์แวร์เฝ้าระวังแบ่งปันช่องโหว่และเทคนิคต่าง ๆ เพื่อเปิดใช้งานการเพิ่มจำนวนของเครื่องมือแฮ็กที่เป็นอันตราย นักวิจัยเขียนไว้ในโพสต์

แคมเปญสปายแวร์ iOS/Android

แคมเปญแรกที่นักวิจัยสรุปได้ค้นพบในเดือนพฤศจิกายนและใช้ประโยชน์จากช่องโหว่ XNUMX รายการใน iOS และ XNUMX รายการใน Android รวมถึงช่องโหว่ Zero-day อย่างน้อยหนึ่งรายการต่อช่องโหว่

นักวิจัยพบความพยายามในการเข้าถึงครั้งแรกที่ส่งผลกระทบต่อทั้งอุปกรณ์ Android และ iOS ที่ส่งผ่าน ลิงก์ bit.ly ที่ส่งผ่าน SMS สำหรับผู้ใช้ที่อยู่ในอิตาลี มาเลเซีย และคาซัคสถาน พวกเขากล่าว ลิงก์ดังกล่าวเปลี่ยนเส้นทางผู้เยี่ยมชมไปยังหน้าเว็บที่โฮสต์ช่องโหว่สำหรับ Android หรือ iOS จากนั้นเปลี่ยนเส้นทางไปยังเว็บไซต์ที่ถูกต้องตามกฎหมาย — “เช่น หน้าเว็บสำหรับติดตามการจัดส่งสำหรับบริษัทขนส่งและโลจิสติกส์ในอิตาลี BRT หรือเว็บไซต์ข่าวยอดนิยมของมาเลเซีย” นักวิจัยเขียนใน โพสต์

ห่วงโซ่ช่องโหว่ของ iOS เป็นเวอร์ชันเป้าหมายก่อน 15.1 และรวมช่องโหว่สำหรับข้อบกพร่อง WebKit remote code operation (RCE) ซึ่งติดตามเป็น CVE-2022-42856, แต่เป็นซีโร่เดย์ในช่วงเวลาของการหาประโยชน์ มันเกี่ยวข้องกับปัญหาความสับสนของประเภทภายในคอมไพเลอร์ JIT การใช้ประโยชน์ใช้เทคนิคบายพาส PAC แก้ไขในเดือนมีนาคม 2022 โดย Apple. การโจมตียังใช้ประโยชน์จากการหลบหนีแบบแซนด์บ็อกซ์และบั๊กการเพิ่มระดับสิทธิ์ใน AGXAccelerator ซึ่งติดตามเป็น CVE-2021-30900ซึ่งได้รับการแก้ไขโดย Apple ใน iOS 15.1

เพย์โหลดสุดท้ายของแคมเปญ iOS คือ stager ง่ายๆ ที่ส่ง Ping กลับตำแหน่ง GPS ของอุปกรณ์ และยังช่วยให้ผู้โจมตีสามารถติดตั้งไฟล์ .IPA (ไฟล์เก็บถาวรของแอปพลิเคชัน iOS) ลงบนโทรศัพท์มือถือที่ได้รับผลกระทบได้ นักวิจัยกล่าว ไฟล์นี้สามารถใช้เพื่อขโมยข้อมูล

ห่วงโซ่การหาประโยชน์ของ Android ในแคมเปญกำหนดเป้าหมายผู้ใช้บนอุปกรณ์ที่ใช้ ARM GPU ที่ใช้ Chrome เวอร์ชันก่อน 106 นักวิจัยกล่าว มีสามช่องโหว่ที่ถูกโจมตี: CVE-2022-3723ซึ่งเป็นช่องโหว่ประเภทสับสนใน Chrome นั่นคือ แก้ไขเมื่อเดือนตุลาคมที่ผ่านมาr ในเวอร์ชัน 107.0.5304.87 CVE-2022-4135, บายพาสแซนด์บ็อกซ์ของ Chrome GPU ที่มีผลเฉพาะกับ Android ซึ่งเป็นวันศูนย์เมื่อถูกโจมตีและแก้ไขในเดือนพฤศจิกายน และ CVE-2022-38181ที่ ข้อบกพร่องในการเพิ่มระดับสิทธิ์แก้ไขโดย ARM เมื่อเดือนสิงหาคมที่ผ่านมา

ความสำคัญของการโจมตี ARM และ CVE-2022-38181 โดยเฉพาะอย่างยิ่งคือเมื่อมีการเปิดตัวการแก้ไขข้อบกพร่องนี้ในขั้นต้น ผู้จำหน่ายหลายราย — รวมถึง Pixel, Samsung, Xiaomi และ Oppo — ไม่ได้รวมแพตช์ ให้ผู้โจมตีหลายเดือน เพื่อใช้ประโยชน์จากจุดบกพร่องได้อย่างอิสระ นักวิจัยกล่าว

แคมเปญจารกรรมข้อมูลทางไซเบอร์ของเบราว์เซอร์ Samsung

นักวิจัยของ Google TAG ค้นพบแคมเปญที่สอง ซึ่งรวมถึงห่วงโซ่การหาประโยชน์โดยสมบูรณ์โดยใช้ทั้ง zero-days และ n-days เพื่อกำหนดเป้าหมาย Samsung Internet Browser เวอร์ชันล่าสุดในเดือนธันวาคม เบราว์เซอร์ทำงานบน Chromium 102 และไม่ได้รับการอัปเดตเพื่อรวมการลดผลกระทบล่าสุด ซึ่งทำให้ผู้โจมตีต้องทำงานเพิ่มเติมเพื่อดำเนินการเจาะช่องโหว่ นักวิจัยกล่าว

นักวิจัยกล่าวว่าผู้โจมตีทำการเจาะระบบด้วยลิงก์แบบครั้งเดียวที่ส่งทาง SMS ไปยังอุปกรณ์ที่อยู่ในสหรัฐอาหรับเอมิเรตส์ (UAE) ลิงก์นำผู้ใช้ไปยังหน้า Landing Page ที่เหมือนกับหน้าที่มีอยู่ใน กรอบเฮลิโคเนีย พัฒนาโดยผู้จำหน่ายสปายแวร์เชิงพาณิชย์ Variston พวกเขากล่าวเสริม

เพย์โหลดของการเจาะช่องโหว่ในกรณีนี้คือ “ชุดสปายแวร์ Android ที่มีคุณสมบัติครบถ้วน” ที่ใช้ภาษา C++ ซึ่งมีไลบรารีสำหรับถอดรหัสและดักจับข้อมูลจากโปรแกรมแชทและเบราว์เซอร์ต่างๆ นักวิจัยเขียน พวกเขาสงสัยว่านักแสดงที่เกี่ยวข้องอาจเป็นลูกค้า หุ้นส่วน หรือบริษัทในเครือที่ใกล้ชิดของ Variston

ข้อบกพร่องที่ใช้ในห่วงโซ่คือ CVE-2022-4262ซึ่งเป็นช่องโหว่ที่ทำให้เกิดความสับสนประเภทหนึ่งใน Chrome ซึ่งเป็นช่องโหว่แบบ Zero-day ในเวลาที่ถูกโจมตี CVE-2022-3038, sandbox escape ใน Chrome ได้รับการแก้ไขแล้วในเวอร์ชัน 105 ในเดือนมิถุนายน 2022 CVE-2022-22706ซึ่งเป็นช่องโหว่ใน ไดรเวอร์เคอร์เนล Mali GPU แก้ไขโดย ARM ในเดือนมกราคม 2022 และ CVE-2023-0266ซึ่งเป็นช่องโหว่ของสภาวะการแข่งขันในระบบย่อย Linux kernel sound ซึ่งให้สิทธิ์การอ่านและเขียนเคอร์เนลแบบ zero-day ณ เวลาที่ถูกโจมตี

“ห่วงโซ่การหาประโยชน์ยังใช้ประโยชน์จากข้อมูลเคอร์เนลหลายตัวที่รั่วไหลแบบ Zero-day เมื่อใช้ประโยชน์จาก CVE-2022-22706 และ CVE-2023-0266” ที่ Google รายงานไปยัง ARM และ Samsung นักวิจัยเขียน

การจำกัดสปายแวร์และการปกป้องผู้ใช้มือถือ

นักวิจัยของ TAG ได้จัดทำรายการตัวบ่งชี้การประนีประนอม (IoC) เพื่อช่วยให้ผู้ใช้อุปกรณ์ทราบว่าพวกเขากำลังตกเป็นเป้าหมายของแคมเปญหรือไม่ พวกเขายังเน้นย้ำถึงความสำคัญของผู้ขายและผู้ใช้ในการอัปเดตอุปกรณ์มือถือด้วยแพตช์ล่าสุดโดยเร็วที่สุดหลังจากพบช่องโหว่และ/หรือช่องโหว่สำหรับพวกเขา

“ประเด็นสำคัญในที่นี้คือการใช้ซอฟต์แวร์ที่อัปเดตอย่างสมบูรณ์บนอุปกรณ์ที่อัปเดตอย่างสมบูรณ์” นักวิจัยของ Google TAG กล่าวเพื่อตอบคำถามที่ Dark Reading เสนอ “ในกรณีนี้ ห่วงโซ่การหาประโยชน์ที่อธิบายไว้ทั้งหมดไม่ได้ผล”

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/attacks-breaches/google-spyware-governments-zero-day-exploits