Grupa analizy zagrożeń Google ogłosiła odkrycie struktury exploitów, która wykorzystywała załatane luki w zabezpieczeniach do rozprzestrzeniania oprogramowania szpiegującego. Hiszpańska firma IT Variston została powiązana z exploitem.
Hiszpańska firma informatyczna mogła wykorzystać lukę w systemie Windows
30 listopada 2022 r. Grupa analizy zagrożeń Google (TAG) ogłosiła w a Wpis na blogu Google że platforma eksploatacyjna o nazwie „Heliconia” może mieć powiązania z hiszpańską firmą informatyczną Variston. Framework wykorzystywał załatane teraz luki w zabezpieczeniach Chrome, Firefox i Microsoft Defender w celu wdrożenia niebezpieczne oprogramowanie szpiegujące.
Variston, domniemany dostawca rozwiązań bezpieczeństwa, ma siedzibę w Barcelonie i mógł wykorzystywać luki w zabezpieczeniach n-day do rozprzestrzeniania oprogramowania szpiegującego. Luki N-day odnoszą się do wykorzystanych luk w zabezpieczeniach, które zostały załatane. Badacze TAG firmy Google uważają jednak, że luki te zostały wykorzystane do celów
exploity dnia zerowego na wolności przed łatami.Heliconia Framework może wdrażać komercyjne oprogramowanie szpiegujące
Grupa Google Threat Analysis Group została początkowo poinformowana o frameworku Heliconia poprzez zgłoszenie w usłudze zgłaszania błędów przez anonimowego użytkownika. Użytkownik, który zgłosił trzy błędy, wymyślił nazwę „Heliconia”. Trzy raporty zostały nazwane odpowiednio „Heliconia Noise”, „Heliconia Soft” i „Files”.
Heliconia Noise to framework, który wdraża exploit Windows dla błędu renderera Chrome, po którym następuje ucieczka z piaskownicy Chrome i instalacja agenta. Wersje Chrome od 90.0.4430.72 do 91.0.4472.106 (od kwietnia do czerwca 2021 r.) były narażone na ten exploit do sierpnia 2021 r.
Ramy Heliconia Soft wdrażają plik PDF zawierający exploit Windows Defender. Pliki składają się z różnych exploitów dla systemów Linux i Windows.
Heliconia zajmuje się rozprzestrzenianiem komercyjnego oprogramowania szpiegującego na docelowych urządzeniach. Jak stwierdzono w poście Google TAG w tej sprawie, ten rodzaj złośliwego programu wprowadza „zaawansowane możliwości nadzoru ręce rządów, które wykorzystują je do szpiegowania dziennikarzy, obrońców praw człowieka, opozycji politycznej i dysydenci".
TAG Google jest zaangażowany w zwalczanie komercyjnego oprogramowania szpiegującego
TAG Google zakończył swój wpis na blogu dotyczący frameworka Heliconia, w którym stwierdził, że „rozwój branży oprogramowania szpiegującego naraża użytkowników na ryzyko i czyni Internet mniej bezpiecznym”. Komercyjne oprogramowanie szpiegowskie może być nadużywane, nawet jeśli „technologia nadzoru może być legalna na mocy prawa krajowego lub międzynarodowego”.
Z powodu tego niebezpieczeństwa Google i TAG oświadczyły, że „będą nadal podejmować działania przeciwko komercyjnemu przemysłowi spyware i publikować badania na jego temat”.
Oprogramowanie szpiegujące stanowi zagrożenie dla milionów użytkowników Internetu
Oprogramowanie szpiegujące może być wykorzystywane do monitorowania cyfrowej aktywności ludzi bez ich zgody lub wiedzy. Prywatne dane są narażone na kradzież za pośrednictwem oprogramowania szpiegującego, które może być wykorzystane zarówno do osiągnięcia korzyści przez atakującego, jak i do wykorzystania celu. Chociaż komercyjne oprogramowanie szpiegujące może być legalne w niektórych krajach, nadal może być używane w sposób nieetyczny i może narażać obywateli na ryzyko. Właśnie dlatego zespoły takie jak Google TAG starają się identyfikować, monitorować i zwalczać takie programy w sposób ciągły.