Googles Threat Analysis Group har kunngjort sin oppdagelse av et utnyttelsesrammeverk som brukte nå-patchede sårbarheter for å spre spionprogrammer. Det spanske IT-firmaet Variston har blitt koblet til utnyttelsen.
Et spansk IT-firma kan ha utnyttet et Windows-sårbarhet
30. november 2022 kunngjorde Googles Threat Analysis Group (TAG) i en Google blogginnlegg at et rammeverk for utnyttelse kalt "Heliconia" kan ha bånd til det spanske IT-firmaet Variston. Rammeverket utnyttet nå oppdaterte Chrome-, Firefox- og Microsoft Defender-sårbarheter for å kunne distribueres farlig spionprogramvare.
Variston, den aktuelle leverandøren av sikkerhetsløsninger, er basert i Barcelona og kan ha utnyttet n-dagers sårbarheter for å spre spionprogrammer. N-dagers sårbarheter refererer til utnyttede sikkerhetsfeil som har blitt rettet. Googles TAG-forskere mener imidlertid at disse sårbarhetene ble brukt til null-dagers bedrifter i naturen før flekkene.
Heliconia Framework kan distribuere kommersiell spionvare
Google Threat Analysis Group ble opprinnelig gjort oppmerksom på Heliconia-rammeverket via en innsending på feilrapporteringstjenesten fra en anonym bruker. Brukeren, som rapporterte tre feil, laget navnet "Heliconia". De tre rapportene ble navngitt henholdsvis "Heliconia Noise", "Heliconia Soft" og "Files".
Heliconia Noise er et rammeverk som distribuerer en Windows-utnyttelse for en Chrome-gjengivelsesfeil, som deretter blir fulgt av en Chrome-sandbox-escape og agentinstallasjon. Chrome-versjonene 90.0.4430.72 til 91.0.4472.106 (fra april til juni 2021) ble utsatt for denne utnyttelsen frem til august 2021.
Heliconia Soft-rammeverket distribuerer en PDF-fil som inneholder en Windows Defender-utnyttelse. Filene består av ulike utnyttelser for både Linux- og Windows-systemer.
Heliconia tar for seg spredningen av kommersiell spionvare på målrettede enheter. Som nevnt i Googles TAG-innlegg om saken, setter denne typen ondsinnet program "avanserte overvåkingsfunksjoner i hendene til regjeringer som bruker dem til å spionere på journalister, menneskerettighetsaktivister, politisk opposisjon og dissidenter."
Googles TAG er forpliktet til å takle kommersiell spionvare
Googles TAG konkluderte blogginnlegget sitt angående Heliconia-rammeverket at "veksten av spywareindustrien setter brukere i fare og gjør Internett mindre trygt". Kommersiell spyware kan misbrukes selv om "overvåkingsteknologi kan være lovlig under nasjonale eller internasjonale lover".
På grunn av denne faren har Google og TAG uttalt at de vil "fortsette å iverksette tiltak mot, og publisere forskning om, den kommersielle spionvareindustrien".
Spionvare utgjør en risiko for millioner av Internett-brukere
Spionprogrammer kan brukes til å overvåke folks digitale aktivitet uten deres tillatelse eller viten. Private data er sårbare for tyveri via spionprogramvare, som kan brukes både til fordel for angriperen og til å utnytte målet. Selv om kommersiell spionvare kan være lovlig i visse land, kan den fortsatt brukes uetisk og kan sette innbyggerne i fare. Dette er grunnen til at team som Googles TAG ser etter å identifisere, overvåke og håndtere slike programmer på en kontinuerlig basis.