Googles Threat Analysis Group har annonceret sin opdagelse af en udnyttelsesramme, der brugte nu-patchede sårbarheder til at sprede spyware. Det spanske it-firma Variston er blevet sat i forbindelse med udnyttelsen.
Et spansk it-firma kan have udnyttet en Windows-sårbarhed
Den 30. november 2022 annoncerede Googles Threat Analysis Group (TAG) i en Google blogindlæg at en udnyttelsesramme ved navn "Heliconia" kan have bånd til det spanske it-firma Variston. Rammeværket udnyttede nu-patchede Chrome-, Firefox- og Microsoft Defender-sårbarheder for at blive implementeret farlig spyware.
Variston, den påståede udbyder af sikkerhedsløsninger, er baseret i Barcelona og kan have udnyttet n-dages sårbarheder til at sprede spyware. N-dages sårbarheder henviser til udnyttede sikkerhedsfejl, der er blevet rettet. Googles TAG-forskere mener dog, at disse sårbarheder blev brugt til zero-day bedrifter i naturen forud for pletterne.
Heliconia Framework kan implementere kommerciel spyware
Google Threat Analysis Group blev oprindeligt gjort opmærksom på Heliconia-rammen via en indsendelse på deres fejlrapporteringstjeneste fra en anonym bruger. Brugeren, der rapporterede tre fejl, opfandt navnet "Heliconia". De tre rapporter blev navngivet henholdsvis "Heliconia Noise", "Heliconia Soft" og "Files".
Heliconia Noise er en ramme, der implementerer en Windows-udnyttelse til en Chrome-renderer-fejl, som derefter efterfølges af en Chrome-sandbox-escape og agentinstallation. Chrome-versionerne 90.0.4430.72 til 91.0.4472.106 (fra april til juni 2021) blev udsat for denne udnyttelse indtil august 2021.
Heliconia Soft-rammen implementerer en PDF-fil, der indeholder en Windows Defender-udnyttelse. Filerne består af forskellige udnyttelser til både Linux- og Windows-systemer.
Heliconia beskæftiger sig med spredningen af kommerciel spyware på målrettede enheder. Som angivet i Googles TAG-indlæg om sagen, sætter denne form for ondsindet program "avancerede overvågningsfunktioner i hænderne på regeringer, der bruger dem til at spionere på journalister, menneskerettighedsaktivister, politisk opposition og dissidenter."
Googles TAG er forpligtet til at tackle kommerciel spyware
Googles TAG konkluderede sit blogindlæg vedrørende Heliconia-rammen, at "væksten i spywareindustrien sætter brugere i fare og gør internettet mindre sikkert". Kommerciel spyware kan misbruges, selvom "overvågningsteknologi kan være lovlig i henhold til national eller international lovgivning".
På grund af denne fare har Google og TAG udtalt, at de vil "fortsætte med at gribe ind over for og offentliggøre forskning om den kommercielle spywareindustri".
Spyware udgør en risiko for millioner af internetbrugere
Spyware kan udnyttes til at overvåge folks digitale aktivitet uden deres tilladelse eller viden. Private data er sårbare over for tyveri via spyware, som både kan bruges til at gavne angriberen og udnytte målet. Selvom kommerciel spyware kan være lovlig i visse lande, kan den stadig bruges uetisk og kan bringe borgerne i fare. Dette er grunden til, at teams som Googles TAG søger at identificere, overvåge og tackle sådanne programmer på en kontinuerlig basis.
