Googles Threat Analysis Group har tillkännagett sin upptäckt av ett exploateringsramverk som använde nu korrigerade sårbarheter för att sprida spionprogram. Spanska IT-företaget Variston har kopplats till exploateringen.
Ett spanskt IT-företag kan ha utnyttjat en Windows-sårbarhet
Den 30 november 2022 tillkännagav Googles Threat Analysis Group (TAG) i en Google blogginlägg att ett exploateringsramverk med namnet "Heliconia" kan ha kopplingar till det spanska IT-företaget Variston. Ramverket utnyttjade nu patchade Chrome-, Firefox- och Microsoft Defender-sårbarheter för att kunna distribueras farligt spionprogram.
Variston, den påstådda leverantören av säkerhetslösningar i fråga, är baserad i Barcelona och kan ha utnyttjat n-day sårbarheter för att sprida spionprogram. N-dagars sårbarheter hänvisar till utnyttjade säkerhetsbrister som har korrigerats. Googles TAG-forskare tror dock att dessa sårbarheter användes för
zero-day bedrifter i det vilda före fläckarna.Heliconia Framework kan distribuera kommersiella spionprogram
Google Threat Analysis Group fick initialt kännedom om Heliconia-ramverket via en inlämning på dess felrapporteringstjänst av en anonym användare. Användaren, som rapporterade tre buggar, myntade namnet "Heliconia". De tre rapporterna fick namnet "Heliconia Noise", "Heliconia Soft" respektive "Files".
Heliconia Noise är ett ramverk som distribuerar en Windows-exploatering för en Chrome-renderer-bugg, som sedan följs av en Chrome-sandbox-escape och agentinstallation. Chrome-versionerna 90.0.4430.72 till 91.0.4472.106 (från april till juni 2021) exponerades för detta utnyttjande fram till augusti 2021.
Heliconia Soft-ramverket distribuerar en PDF-fil som innehåller en Windows Defender-exploatering. Filerna består av olika exploits för både Linux- och Windows-system.
Heliconia arbetar med spridningen av kommersiella spionprogram på riktade enheter. Som det sägs i Googles TAG-inlägg om saken, lägger den här typen av skadligt program "avancerade övervakningsmöjligheter i händerna på regeringar som använder dem för att spionera på journalister, människorättsaktivister, politisk opposition och oliktänkande."
Googles TAG är engagerad i att ta itu med kommersiella spionprogram
Googles TAG avslutade sitt blogginlägg om Heliconia-ramverket att "tillväxten av spionprogramsindustrin utsätter användare för risker och gör internet mindre säkert". Kommersiella spionprogram kan missbrukas även om "övervakningsteknik kan vara laglig enligt nationella eller internationella lagar".
På grund av denna fara har Google och TAG uttalat att de kommer att "fortsätta att vidta åtgärder mot, och publicera forskning om, den kommersiella spionprogramindustrin".
Spionprogram utgör en risk för miljontals internetanvändare
Spionprogram kan användas för att övervaka människors digitala aktivitet utan deras tillstånd eller vetskap. Privat data är sårbar för stöld via spionprogram, som kan användas både för att gynna angriparen och utnyttja målet. Även om kommersiella spionprogram kan vara lagliga i vissa länder, kan de fortfarande användas oetiskt och kan utsätta medborgarna för risker. Det är därför team som Googles TAG letar efter att identifiera, övervaka och ta itu med sådana program på en kontinuerlig basis.