Grupul de analiză a amenințărilor de la Google și-a anunțat descoperirea unui cadru de exploatare care folosea vulnerabilități corectate acum pentru a răspândi spyware. Firma spaniolă de IT Variston a fost legată de exploit.
Este posibil ca o firmă de IT spaniolă să fi exploatat o vulnerabilitate Windows
Pe 30 noiembrie 2022, Grupul de analiză a amenințărilor Google (TAG) a anunțat într-un Postare pe blogul Google că un cadru de exploatare numit „Heliconia” poate avea legături cu firma spaniolă de IT Variston. Cadrul a exploatat vulnerabilitățile Chrome, Firefox și Microsoft Defender care au fost corectate acum pentru a fi implementate spyware periculos.
Variston, presupusul furnizor de soluții de securitate în cauză, are sediul în Barcelona și este posibil să fi exploatat vulnerabilități de n zile pentru a răspândi spyware. Vulnerabilitățile N-day se referă la defecte de securitate exploatate care au fost corectate. Cu toate acestea, cercetătorii Google TAG cred că aceste vulnerabilități au fost folosite pentru
exploit de zi zero în sălbăticie înainte de petice.Heliconia Framework poate implementa spyware comercial
Grupul de analiză a amenințărilor Google a fost informat inițial cu privire la cadrul Heliconia printr-o trimitere a serviciului său de raportare a erorilor de către un utilizator anonim. Utilizatorul, care a raportat trei erori, a inventat numele „Heliconia”. Cele trei rapoarte au fost denumite „Heliconia Noise”, „Heliconia Soft” și, respectiv, „Files”.
Heliconia Noise este un cadru care implementează un exploit Windows pentru o eroare de redare Chrome, care este apoi urmat de o evadare a casetei de testare Chrome și de instalarea unui agent. Versiunile Chrome 90.0.4430.72 până la 91.0.4472.106 (din aprilie până în iunie 2021) au fost expuse acestui exploit până în august 2021.
Cadrul Heliconia Soft implementează un PDF care conține un exploit Windows Defender. Fișierele constau din diverse exploit-uri atât pentru sistemele Linux, cât și pentru Windows.
Heliconia se ocupă de răspândirea programelor spion comerciale pe dispozitivele vizate. După cum se precizează în postarea TAG a Google pe această temă, acest tip de program rău intenționat pune „capacități avansate de supraveghere în mâinile guvernelor care le folosesc pentru a spiona jurnalişti, activişti pentru drepturile omului, opoziţie politică şi dizidenți”.
TAG de la Google se angajează să lupte împotriva programelor spion comerciale
TAG de la Google și-a încheiat postarea pe blog referitor la cadrul Heliconia că „creșterea industriei de spyware pune utilizatorii în pericol și face internetul mai puțin sigur”. Spyware-ul comercial poate fi abuzat chiar dacă „tehnologia de supraveghere poate fi legală conform legilor naționale sau internaționale”.
Din cauza acestui pericol, Google și TAG au declarat că „vor continua să ia măsuri împotriva și să publice cercetări despre industria spyware comercială”.
Programele spion prezintă un risc pentru milioane de utilizatori de internet
Spyware-ul poate fi folosit pentru a monitoriza activitatea digitală a oamenilor fără permisiunea sau cunoștințele acestora. Datele private sunt vulnerabile la furt prin intermediul programelor spion, care pot fi folosite atât pentru a beneficia atacatorul, cât și pentru a exploata ținta. În timp ce programele spion comerciale pot fi legale în anumite țări, ele pot fi utilizate în mod neetic și pot pune cetățenii în pericol. Acesta este motivul pentru care echipe precum TAG de la Google caută să identifice, să monitorizeze și să abordeze astfel de programe în mod continuu.
