I ricercatori del Threat Analysis Group (TAG) di Google hanno rilevato uno strumento in grado di sfruttare le vulnerabilità di Chrome, Windows Defender e Firefox e annunciato di aver intrapreso delle misure per bloccare uno strumento di spyware commerciale che ha preso di mira diversi computer e che sarebbe stato apparentemente sviluppato da un’azienda spagnola.
La ricerca di TAG sottolinea che l’industria della sorveglianza commerciale è fiorente e si è espansa in modo significativo negli ultimi anni, creando rischi per gli utenti di Internet in tutto il mondo. Lo spyware commerciale mette capacità avanzate di sorveglianza nelle mani dei governi che le utilizzano per spiare giornalisti, attivisti per i diritti umani, oppositori politici e dissidenti.
Nello specifico, il framework per lo sfruttamento di vulnerabilità in questione, ribattezzato Heliconia, è arrivato all’attenzione di Google dopo una serie di segnalazioni anonime al programma per notifica dei bug di Chrome.
“TAG è venuto a conoscenza del framework Heliconia quando Google ha ricevuto un invio anonimo al programma di segnalazione dei bug di Chrome. Il mittente ha segnalato tre bug, ciascuno con istruzioni e un archivio che conteneva il codice sorgente. Hanno usato nomi univoci nelle segnalazioni di bug, tra cui “Heliconia Noise”, “Heliconia Soft” e “Files”. TAG ha analizzato gli invii e ha scoperto che contenevano framework per la distribuzione di exploit in the wild e uno script nel codice sorgente includeva indizi che indicavano il possibile sviluppatore dei framework di sfruttamento, Variston IT”, si legge nell’analisi.
Sebbene le vulnerabilità siano ora corrette, gli esperti ritengono che sia probabile che gli exploit siano stati utilizzati come 0-days giorni prima di essere risolti.
Heliconia Noise è un framework web per la distribuzione di un exploit per un bug del renderer di Chrome seguito da una fuga sandbox. Heliconia Soft un framework Web che distribuisce un PDF contenente un exploit di Windows Defender e Files una serie di exploit di Firefox per Linux e Windows.
I framework di sfruttamento indicavano la presenza di vulnerabilità in Chrome, Windows Defender e Firefox che potevano essere sfruttate per distribuire spyware sui dispositivi di destinazione, compresi i computer Windows e Linux.
“I risultati indicano che nel settore dello spyware operano molti attori di piccole dimensioni ma con forti capacità legate agli zero day”, hanno dichiarato i ricercatori del Tag a Wired US, riferendosi alle vulnerabilità ancora sconosciute e per le quali non sono disponibili patch.
Variston It non ha risposto alla richiesta di commento inoltrata da Wired US. Il direttore dell’azienda, ha dichiarato a TechCrunch che Variston non ha avuto la possibilità di esaminare la ricerca di Google e che quindi non è in grado di confermarla. Google ha confermato che i ricercatori del Tag non hanno contattato Variston It prima della pubblicazione del rapporto, come da prassi dell’azienda per questo tipo di indagini.
Google, Microsoft e Mozilla hanno già creato delle patch per le vulnerabilità di Heliconia nel 2021 e 2022 e Google afferma di non aver rilevato allo stato attuale uno sfruttamento dei bug. Secondo le prove riportate nelle segnalazioni, il framework è stato probabilmente utilizzato per sfruttare le falle a partire dal 2018 e dal 2019, molto prima che venissero introdotte le patch. Per la sua ricerca, il Tag ha collaborato con Project Zero, l’unità di Google che si occupa di analisi delle vulnerabilità, e con il team di sicurezza di Chrome V8.
Il fatto che Google non rilevi prove dello sfruttamento di Heliconia può significare che al momento il framework è inattivo. Tuttavia, potrebbe anche indicare che lo strumento si sia evoluto. “Potrebbero esserci altri exploit, un nuovo framework, oppure i loro exploit potrebbero non aver attraversato i nostri sistemi, o ancora forse ora ci sono altri livelli a proteggere i loro exploit”, hanno detto i ricercatori del Tag a Wired US.
I ricercatori sottolineano che l’obiettivo di questo tipo di ricerche è quello di far luce sui metodi, le capacità tecniche e gli abusi dell’industria degli spyware commerciali. Il gruppo ha creato dei sistemi di rilevamento per il servizio Google safe browsing per segnalare i siti e i file correlati a Heliconia, mentre i ricercatori ricordano l’importanza di aggiornare i propri software.
“La crescita dell’industria degli spyware mette a rischio gli utenti e rende internet meno sicuro – ha scritto il Tag in un post sul blog del gruppo a proposito delle scoperta –, e anche se le tecnologie di sorveglianza possono essere legali in base alle leggi nazionali o internazionali, spesso vengono utilizzate in modo dannoso per lo spionaggio digitale contro una serie di gruppi”.
https://blog.google/threat-analysis-group/new-details-on-commercial-spyware-vendor-variston/
https://www.wired.it/article/spyware-spagnolo-heliconia-google/