Дослідники з Google Threat Analysis Group (TAG) виявили дві окремі цільові кампанії, які використовують різноманітні невиправлені експлойти нульового дня проти користувачів смартфонів iPhone і Android для розгортання. шпигунських програм.
Відкриття — виявлені в блог 29 березня — це результат активного відстеження Google TAG за комерційними постачальниками шпигунського програмного забезпечення, понад 30 з них зараз на екрані радара, кажуть дослідники. Ці постачальники продають експлойти або можливості стеження суб’єктам загроз, які спонсоруються державою, таким чином «сприяючи поширенню небезпечних хакерських інструментів, озброюючи уряди, які не зможуть розвинути ці можливості власними силами», пишуть дослідники. Вони часто використовуються для нападів на дисидентів, журналістів, правозахисників і політиків опозиційних партій потенційно небезпечними для життя способами, відзначили вони.
Використання технологій стеження наразі є законним відповідно до більшості національних або міжнародних законів, і уряди зловживають цими законами та технологіями, щоб націлитися на осіб, які не відповідають їхнім планам. Однак, оскільки це зловживання потрапило під міжнародний контроль через викриття зловживань урядів Мобільна шпигунська програма Pegasus від NSO Group для націлювання на користувачів iPhone, регулятори та постачальники були розтріскування про виробництво та використання комерційного шпигунського програмного забезпечення.
Насправді 28 березня адміністрація Байдена видала виконавчий наказ, який не відповідає повній забороні шпигунського програмного забезпечення, але обмежує використання інструментів комерційного спостереження федеральним урядом.
Висновки Google, зроблені цього тижня, показують, що ці зусилля мало зробили для перешкоди комерційному шпигунському програмному забезпеченню, і «підкреслюють ступінь, до якого комерційні постачальники систем спостереження розповсюдили можливості, які історично використовувалися лише урядами, які мали технічний досвід для розробки та введення в експлуатацію експлойтів», дослідники TAG. написав у дописі.
Зокрема, дослідники виявили те, що вони характеризують як дві «віддільні, обмежені та високоцільові» кампанії, націлені на користувачів Android, iOS і Chrome на мобільних пристроях. Обидва використовують експлойти нульового дня та експлойти n днів. Що стосується останнього, кампанії використовують особливу перевагу періоду часу між тим, коли постачальники випускають виправлення вразливостей, і коли виробники апаратного забезпечення фактично оновлюють пристрої кінцевих користувачів цими виправленнями, створюючи експлойти для невиправлених платформ, кажуть дослідники.
Це свідчить про те, що ті, хто створює експлойти, уважно стежать за вразливими місцями, які вони можуть використати для підлих цілей, і, ймовірно, вступають у змову, щоб максимізувати потенціал їх використання для компрометації цільових пристроїв, повідомляє TAG. Кампанії також припускають, що постачальники програмного забезпечення для спостереження діляться експлойтами та техніками, щоб уможливити поширення небезпечних інструментів злому, пишуть дослідники в дописі.
Кампанія шпигунського програмного забезпечення для iOS/Android
Перша кампанія, яку окреслили дослідники, була виявлена в листопаді та використовує дві вразливості в iOS і три в Android, включаючи принаймні одну уразливість нульового дня в кожній.
Дослідники виявили початкові спроби доступу, які впливають як на пристрої Android, так і на iOS, які доставлялися через посилання bit.ly, надіслані через SMS за їх словами, користувачам, які знаходяться в Італії, Малайзії та Казахстані. Посилання перенаправляли відвідувачів на сторінки, на яких розміщені експлойти для Android або iOS, а потім перенаправляли їх на законні веб-сайти — «такі як сторінка для відстеження відправлень італійської транспортно-логістичної компанії BRT або популярний малайзійський новинний веб-сайт», — пишуть дослідники в пошта.
Ланцюжок експлойтів iOS націлений на версії до 15.1 і включав експлойт для недоліку віддаленого виконання коду WebKit (RCE), який відстежується як CVE-2022-42856, але нульовий день на момент експлойту. Це включає проблему плутанини типів у компіляторі JIT, експлойт використовував техніку обходу PAC виправлено Apple у березні 2022 року. Атака також використовувала помилку виходу з пісочниці та підвищення привілеїв у AGXAccelerator, що відстежується як CVE-2021-30900, яку Apple виправила в iOS 15.1.
За словами дослідників, останнім корисним навантаженням кампанії iOS був простий механізм, який повертає GPS-локацію пристрою, а також дозволяє зловмиснику встановити файл .IPA (архів додатків iOS) на заражений телефон. Цей файл можна використовувати для викрадення інформації.
За словами дослідників, ланцюжок експлойтів Android у кампанії був націлений на користувачів пристроїв, які використовують графічний процесор ARM із версіями Chrome до 106. Було використано три вразливості: CVE-2022-3723, вразливість до плутанини типів у Chrome виправлено в жовтні минулого рокуr у версії 107.0.5304.87, CVE-2022-4135, обхід пісочниці графічного процесора Chrome, який впливає лише на Android, який був нульовим днем після експлуатації та виправлення в листопаді, і CVE-2022-38181, то ARM виправила помилку підвищення привілеїв минулого серпня.
Важливість атаки на ARM і CVE-2022-38181 зокрема полягає в тому, що коли виправлення цієї вади було спочатку випущено, кілька постачальників, зокрема Pixel, Samsung, Xiaomi та Oppo, не включили виправлення, даючи нападникам кілька місяців вільно використовувати помилку, кажуть дослідники.
Кампанія кібершпигунства браузера Samsung
У грудні дослідники Google TAG виявили другу кампанію, яка включає повний ланцюжок експлойтів з використанням нульових і n днів для націлювання на останню версію Інтернет-браузера Samsung. Браузер працює на Chromium 102 і не оновлювався, щоб включити нещодавні засоби пом’якшення, які вимагали б від зловмисників додаткової роботи для здійснення експлойту, кажуть дослідники.
За словами дослідників, зловмисники доставили експлойти за допомогою одноразових посилань, надісланих через SMS на пристрої, розташовані в Об’єднаних Арабських Еміратах (ОАЕ). Посилання спрямовує користувачів на цільову сторінку, ідентичну тій, що представлена в Рамка Heliconia розроблено комерційним постачальником шпигунського програмного забезпечення Variston, додали вони.
Корисним навантаженням експлойту в цьому випадку був «повнофункціональний пакет шпигунського програмного забезпечення для Android» на основі C++, який включав бібліотеки для розшифровки та захоплення даних із різних програм чату та браузера, пишуть дослідники. Вони підозрюють, що задіяний актор може бути клієнтом, партнером або іншим близьким дочірнім підприємством Variston.
Недоліки експлуатовані в ланцюжку були CVE-2022-4262, уразливість плутанини типу в Chrome, яка була нульовим днем на момент експлуатації, CVE-2022-3038, вихід із пісочниці в Chrome, виправлений у версії 105 у червні 2022 року, CVE-2022-22706, вразливість у Драйвер ядра Mali GPU виправлено ARM у січні 2022 року та CVE-2023-0266, уразливість умов гонки в звуковій підсистемі ядра Linux, яка надає доступ до ядра для читання та запису, який був нульовим днем на момент експлуатації.
«Ланцюжок експлойтів також скористався численними витоками інформації ядра нульових днів під час використання CVE-2022-22706 і CVE-2023-0266», про які Google повідомила ARM і Samsung, пишуть дослідники.
Обмеження шпигунського програмного забезпечення та захист мобільних користувачів
Дослідники TAG надали список індикаторів компрометації (IoC), щоб допомогти користувачам пристроїв дізнатися, чи націлені на них кампанії. Вони також підкреслили, наскільки важливо як для постачальників, так і для користувачів оновлювати свої мобільні пристрої останніми виправленнями якомога швидше після виявлення вразливостей та/або експлойтів для них.
«Великим висновком тут було б використовувати повністю оновлене програмне забезпечення на повністю оновлених пристроях», — кажуть дослідники Google TAG у відповідь на запитання Dark Reading. «У цьому випадку жоден із описаних ланцюжків експлойтів не спрацював би».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://www.darkreading.com/attacks-breaches/google-spyware-governments-zero-day-exploits
- :є
- 1
- 2022
- 28
- 7
- a
- Здатний
- зловживання
- доступ
- За
- активний
- актори
- насправді
- доданий
- Додатковий
- адміністрація
- Перевага
- впливати
- зачіпає
- філія
- після
- проти
- дозволяє
- аналіз
- та
- чоловіча
- Apple
- додаток
- застосування
- арабська
- архів
- ЕСТЬ
- ARM
- AS
- At
- атака
- Атакуючий
- Спроби
- Серпня
- назад
- Заборона
- BE
- буття
- між
- біден
- Адміністрація Байдена
- Великий
- Блог
- браузер
- Помилка
- by
- Кампанія
- Кампанії
- CAN
- можливості
- захопивши
- нести
- випадок
- ланцюг
- ланцюга
- охарактеризувати
- Chrome
- хром
- близько
- код
- комерційний
- компанія
- повний
- компроміс
- стан
- замішання
- створення
- В даний час
- клієнт
- Небезпечний
- темно
- Темне читання
- дані
- Грудень
- поставляється
- демонструє
- розгортання
- описаний
- розвивати
- розвиненою
- пристрій
- прилади
- DID
- відкритий
- чіткий
- водій
- кожен
- зусилля
- або
- емірати
- включіть
- дозволяє
- ескалація
- виконання
- виконавчий
- розпорядження
- експертиза
- Експлуатувати
- експлуатація
- експлуатований
- подвигів
- очей
- Фолс
- Федеральний
- Федеральний уряд
- філе
- остаточний
- Перший
- виправляти
- фіксованою
- недолік
- для
- знайдений
- від
- повністю
- Уряд
- Уряду
- GPS
- GPU
- Group
- злом
- апаратні засоби
- Мати
- допомога
- тут
- дуже
- історично
- хостинг
- Як
- Однак
- HTML
- HTTP
- HTTPS
- людина
- права людини
- однаковий
- важливо
- in
- включати
- включені
- includes
- У тому числі
- включати
- індикатори
- осіб
- інформація
- початковий
- спочатку
- встановлювати
- Міжнародне покриття
- інтернет
- залучений
- iOS
- iPhone
- питання
- Випущений
- IT
- Італія
- січня
- JIT-
- журналісти
- JPG
- Казахстан
- зберігання
- Знати
- посадка
- останній
- останній
- Законодавство
- витік
- легальний
- libraries
- Ймовірно
- обмеженою
- LINK
- зв'язку
- Linux
- список
- трохи
- розташований
- розташування
- логістика
- Малайзія
- Виробники
- березня
- Максимізувати
- Mobile
- мобільні пристрої
- більше
- найбільш
- множинний
- National
- новини
- nist
- зазначив,
- Листопад
- of
- on
- ONE
- OPPO
- порядок
- інакше
- викладені
- сторінка
- приватність
- партнер
- пластир
- Патчі
- Пегас
- period
- піксель
- Платформи
- plato
- Інформація про дані Платона
- PlatoData
- Політики
- популярний
- це можливо
- пошта
- потенціал
- потенційно
- представити
- попередній
- Production
- захищає
- за умови
- забезпечення
- цілей
- питань
- швидко
- Гонки
- радар
- RE
- Читати
- читання
- останній
- про
- звільнити
- випущений
- віддалений
- Повідомляється
- вимагається
- Дослідники
- відповідь
- результат
- Показали
- праві
- біг
- s
- Зазначений
- Samsung
- sandbox
- сцена
- Екран
- другий
- продавати
- окремий
- кілька
- Поділитись
- Короткий
- Показувати
- значення
- простий
- з
- смартфонів
- SMS
- Софтвер
- Звучати
- шпигунських програм
- такі
- набір
- спостереження
- TAG
- Приймати
- Мета
- цільове
- технічний
- методи
- Технології
- Що
- Команда
- їх
- Їх
- Ці
- На цьому тижні
- загроза
- актори загроз
- три
- час
- до
- інструменти
- трек
- Відстеження
- ОАЕ
- при
- United
- Об'єднані Арабські Емірати
- Оновити
- оновлений
- використання
- користувачі
- різний
- продавець
- постачальники
- версія
- через
- відвідувачів
- Уразливості
- вразливість
- способи
- веб-комплект
- веб-сайт
- веб-сайти
- week
- ДОБРЕ
- Що
- який
- з
- в
- Work
- працював
- робочі
- б
- запис
- Xiaomi
- зефірнет