Badacze cyberbezpieczeństwa z grupy Google Threat Analysis Group (TAG) twierdzą, że hiszpańska firma komercyjna opracowała sieć exploitów (otwiera się w nowej karcie) dla systemów Windows, Chrome i Firefox i prawdopodobnie sprzedała ją podmiotom rządowym.
W poście na blogu opublikowanym na początku tego tygodnia zespół TAG twierdzi, że firma Variston IT z siedzibą w Barcelonie jest prawdopodobnie powiązana z platformą Heliconia, która wykorzystuje luki n-day w przeglądarkach Chrome, Firefox i Microsoft Defender (otwiera się w nowej karcie ). Wskazuje również, że firma prawdopodobnie dostarczyła wszystkie narzędzia niezbędne do rozmieszczenia ładunku w docelowym punkcie końcowym (otwiera się w nowej karcie).
Brak aktywnej eksploatacji
Wszystkie firmy, których dotyczy problem, naprawiły luki w zabezpieczeniach, które były wykorzystywane przez platformę Heliconia w 2021 i na początku 2022 r., a ponieważ TAG nie znalazł aktywnych luk, platforma była najprawdopodobniej używana przez zero dni. Jednak, aby w pełni chronić się przed Heliconią, TAG sugeruje, aby wszyscy użytkownicy aktualizowali swoje oprogramowanie.
Google został po raz pierwszy powiadomiony o istnieniu Heliconii poprzez anonimowe zgłoszenie do programu zgłaszania błędów Chrome (otwiera się w nowej karcie). Ktokolwiek przesłał zgłoszenie, dodał trzy błędy, każdy z instrukcjami i plikiem kodu źródłowego. Nazywały się „Heliconia Noise”, „Heliconia Soft” i „Files”. Późniejsza analiza wykazała, że zawierały one „frameworki do implementacji exploitów w środowisku naturalnym” oraz że kod źródłowy wskazywał na Variston IT.
Heliconia Noise jest opisana jako framework do implementacji exploita dla błędu renderowania Chrome, po którym następuje ucieczka do piaskownicy. Z drugiej strony Heliconia Soft to platforma internetowa, która implementuje plik PDF zawierający exploit dla Windows Defender, podczas gdy Files to zbiór exploitów Firefoksa (otwiera się w nowej karcie) znalezionych zarówno w systemie Windows, jak i Linux. .
Ponieważ exploit Heliconia działa w Firefoksie w wersjach 64-68, prawdopodobnie był używany pod koniec 2018 roku, sugeruje Google.
W rozmowie z TechCrunch, Variston CIO Ralf Wegner powiedział, że firma nie była świadoma wyszukiwań Google i nie mogła zweryfikować wyników, ale dodał, że byłby „zaskoczony, gdyby taki element został znaleziony na wolności”.
Komercyjne oprogramowanie szpiegowskie (otwiera się w nowej karcie) to rozwijająca się branża, Google mówi, dodając, że nie będzie stać bezczynnie, podczas gdy te podmioty sprzedają luki rządom, które następnie wykorzystują je do atakowania przeciwników, polityków, dziennikarzy, obrońców praw człowieka i dysydentów.
Być może najbardziej znanym przykładem jest izraelska NSO Group i jej oprogramowanie szpiegowskie Pegasus, które umieściło firmę na czarnej liście w Stanach Zjednoczonych.
Przez: TechCrunch (otwiera się w nowej karcie)