Вибір редакції

Почти легальное шпионское ПО напало на браузеры Chrome, Firefox и Microsoft

09 декабря, 2022. 01:12
Эксперты по безопасности компании Google выявили вредоносный фреймворк, атаковавший уже исправленные уязвимости в браузерах Google Chrome, Mozilla Firefox и антивирусе Microsoft Defender. По утверждению экспертов, речь шла о коммерческом кибершпионском продукте испанского производства.
Группа по анализу угроз Google (Threat Analysis Group) выявила фреймворк для эксплуатации уязвимостей в браузерах Google Chrome и Mozilla Firefox, а также антивирусе Windows Defender. По мнению исследователей, фреймворк был разработан в коммерческих целях испанской компанией Variston IT из Барселоны.

Variston официально занимается разработками специализированных средств защиты информации. Однако, как утверждают в TAG, эта фирма также разрабатывает разнообразные коммерческие средства слежки и шпионажа.

Ее флагманским продуктом является комплекс Heliconia, включающий три основных компонента, каждый из которых нацелен на эксплуатацию определенных уязвимостей в разных программных пакетах.

Heliconia Noise, в частности, представляет собой веб-фреймворк для эксплуатации уязвимости в рендерере Chrome, которая позволяет выходить за пределы безопасной среды («песочницы») и устанавливать программные агенты на целевом устройстве.

Шпионский фреймворк атаковал Chrome, Firefox и Windows Defender
Heliconia Soft — это еще один фреймворк, который с помощью файлов PDF эксплуатирует уязвимость в Windows Defender CVE-2021-42298. Уязвимость позволяет осуществлять запуск произвольного кода удаленно.

Heliconia Files — это набор эксплойтов к Firefox как под Windows, так и под Linux. Одна из эксплуатируемых уязвимостей отслеживалась как CVE-2022-26485.

Все эти уязвимости были исправлены в конце 2021 — начале 2022 гг. По всей видимости, операторы фреймворка использовали перечисленные уязвимости лишь до тех пор, пока о тех не было ничего известно вендорам.

Эксперты TAG указывают, что Heliconia Noise и Heliconia Soft в итоге загружают в систему некий программный агент под названием agent_simple. Однако в той версии фреймворка, которую удалось проанализировать экспертам TAG, агент был простой болванкой, которая не выполняла никаких вредоносных функций и вообще прекращала работу сразу после запуска.

На протяжении 2022 г. TAG неоднократно публиковала информацию о других поставщиках шпионских инструментов, в числе которых итальянская компания RCS Labs, поставлявшая средства слежки за жителями Италии и Казахстана (причем при непосредственной поддержке интернет-провайдеров), и Cytrox, чьи шпионские инструменты использовались для слежки за людьми по всему миру.

Всего, как утверждают исследователи, они отслеживают около 30 поставщиков шпионских инструментов с разной степенью публичности. Некоторые действуют вполне открыто, некоторые прикрываются каким-то более невинным бизнесом, остальные работают в условиях секретности. Различается и степень продвинутости их разработок. Клиентами в большей части случаев являются спецслужбы или хакерские коллективы, сотрудничающие с разведками.

В Google TAG указывают на то, что рост кибершпионской индустрии ставит под угрозу безопасность слишком большого количества людей, и что эксперты Google продолжат бороться или как минимум опубличивать деятельность разработчиков шпионских программ.

Комментарии: