Chrome, Defender и Firefox са 0 свързани с търговска ИТ компания в Испания

Изследователи на Google заявиха в сряда, че са свързали ИТ компания, базирана в Барселона, Испания, с продажбата на усъвършенствани софтуерни рамки, които използват уязвимости в Chrome, Firefox и Windows Defender.

Информационни технологии на Фарестън Самият Билингс като доставчик на персонализирани решения за информационна сигурност, включително вградена SCADA (надзорен контрол и събиране на данни) технология и IoT интегратори, персонализирани корекции за сигурност за патентовани системи, инструменти за откриване на данни, обучение по сигурност и разработване на сигурни протоколи за вградени устройства. Според Докладвай От пакета за анализ на заплахите на Google, Variston продава друг продукт, който не е споменат на неговия уебсайт: софтуерни рамки, които предоставят всичко, от което клиентът се нуждае, за да инсталира тайно зловреден софтуер на устройствата, които иска да шпионира.

Изследователите Clement Lecigne и Benoit Sevens казаха, че експлойт рамки са били използвани за експлоатиране на уязвимости навремето, такива, които са били коригирани достатъчно наскоро, така че някои цели все още не са ги инсталирали. Те добавиха, че доказателствата показват, че рамките са били използвани и когато уязвимостите са били нула дни. Изследователите разкриват откритията си в опит да нарушат пазара на шпионски софтуер, който според тях процъфтява и представлява заплаха за различни групи.

„Изследванията на TAG потвърждават, че индустрията за търговско наблюдение процъфтява и се е разширила значително през последните години, създавайки рискове за интернет потребителите по целия свят“, пишат те. „Комерсиалният шпионски софтуер предоставя усъвършенствани възможности за наблюдение в ръцете на правителства, които го използват, за да шпионират журналисти, правозащитници, политически дисиденти и дисиденти.“

Изследователите продължиха да индексират рамките, които получиха от анонимен източник чрез програмата на Google за докладване на грешки в Chrome. Всеки идва с инструкции и архив, съдържащ изходния код. Рамките идват под имената Heliconia Noise, Heliconia Soft и Files. Рамките съдържаха „зрял изходен код, способен да внедри експлойти за Chrome, Windows Defender и Firefox“ съответно.

В рамката на Heliconia Noise е включен код за почистване на двоични файлове, преди да бъдат произведени от рамката, за да се гарантира, че не съдържат низове, които биха могли да уличат разработчиците. Както показва изображението на скрипта за почистване, списъкът с лоши низове включва “Variston”.

Google

Представители на Variston не отговориха на имейл с искане за коментар за тази публикация.

Рамките експлоатираха уязвимости, които бяха коригирани от Google, Microsoft и Firefox през 2021 г. и 2022 г. Heliconia Noise включва експлойт за Chrome renderer, заедно с експлойт за избягване на защитната пясъчна среда на Chrome, която е проектирана да поддържа ненадежден код, съдържащ се в защитен файлова среда, която няма достъп до чувствителни части на операционната система. Тъй като уязвимостите се откриват вътрешно, няма CVE етикети.

Клиентът може да конфигурира Heliconia Noise, за да зададе неща като максимален брой пъти за обслужване на експлойти, дата на изтичане и правила, които определят кога даден посетител трябва да се счита за валидна цел.

Heliconia Soft включи бомбардиран PDF файл, който експлоатира CVE-2021-42298, грешка в двигателя на JavaScript за защита от злонамерен софтуер на Microsoft Defender, която беше коригирана през ноември 2021 г. Изпращането на документа до някого беше достатъчно, за да получите желаните системни привилегии в Windows, защото Windows Defender сканира автоматично входящите файлове.

Файловата рамка съдържаше напълно документирана верига за експлойт за Firefox, работещ на Windows и Linux. CVE-2022-26485, a Използвайте след безплатно Уязвимостта, която Firefox коригира миналия март. Изследователите казаха, че файловете вероятно експлоатират уязвимостта при изпълнение на код поне от 2019 г., много преди тя да бъде публично обявена или коригирана. Работеше срещу версии на Firefox от 64 до 68. Незащитените зависимости бяха коригирани през 2019 г.

Изследователите рисуват картина на все по-излизащ извън контрол пазар на експлойти. Те написаха:

Изследването на TAG показва разпространението на търговското наблюдение и степента, до която доставчиците на търговски шпионски софтуер са развили способности, които преди са били достъпни само за правителства с големи джобове и технически опит. Разрастването на шпионската индустрия излага потребителите на риск и прави интернет по-малко сигурен и докато технологията за наблюдение може да е законна съгласно националните или международните закони, тя често се използва по злонамерени начини за извършване на дигитален шпионаж срещу редица групи. Тези пробиви представляват сериозен риск за онлайн сигурността, поради което Google и TAG ще продължат да предприемат действия срещу индустрията на комерсиалния шпионски софтуер и ще публикуват изследвания за нея.

Variston се присъединява към редиците на други доставчици на експлойти, включително NSO Group, Hacking Team, Accuvant и Candiru.