Google обвинява испанската фирма за сигурност, че разработва инструменти за експлойт за браузърите Chrome и Microsoft Defender

Google свърза експлойтите във водещия си браузър Chrome, Mozilla Firefox и Microsoft Defender с шпионски софтуерни продукти, разработени от испанска компания Variston IT, която се позиционира като специален доставчик на решения за киберсигурност.

Според изследователи от Threat Analysis Group (TAG) на Google Variston IT разработва, но не обявява рамката Heliconia, поредица от уеб рамки, които „използват днешните уязвимости в Chrome, Firefox и Microsoft Defender и предоставят всички необходими инструменти за внедряване на полезен товар към целево устройство.“

Google Проучване Той се основава на три неизвестни грешки, докладвани на компанията, заедно с изходния код на три рамки, наречени Heliconia Noise, Heliconia Soft и Files, които посочват Variston IT като разработчик.

Уеб рамката на Heliconia Noise се използва за разпространение на уязвимост в Chrome renderer, която позволява на атакуващ да изпълни дистанционно код и да избяга от пясъчника на приложението, за да изпълни зловреден софтуер. Експлойтът за изобразяване на Chrome е в компилации от 90.0.4430.72 (април 2021 г.) до 91.0.4472.106 (юни 2021 г.) на популярния уеб браузър.

Heliconia Soft и File адрес експлоатират уязвимости съответно в Microsoft Defender (базиран на PDF) и базиран на Firefox Linux и Windows. По-конкретно, Heliconia Soft може да се използва за използване на CVE-2021-42298, който присъства в двигателя на JavaScript за защита от злонамерен софтуер на Microsoft Defender. Простото изпращане на злонамерен PDF файл за експлойт CVE-2021-42298 и предоставяне на системни привилегии на атакуващия е достатъчно, защото Defender автоматично сканира всички входящи файлове.

Виж повече: Масачузетс DPH съди за насилствено инсталиране на шпионски софтуер на 1 милион устройства с Android

Файловете на Heliconia съдържат документиран експлоатационен низ за уязвимостта на Firefox CVE-2022-26485 (отдалечено изпълнение на код) в клиенти на Windows и Linux (версии 64 до 68). Пакетът с файлове на Heliconia може да е бил използван за използване на уязвимостта на RCE поне от 2019 г. и вероятно още през декември 2018 г., повече от три години преди грешката да бъде публично обявена и коригирана през март 2022 г.

Google, Microsoft и Mozilla са коригирали уязвимостите за продукта до началото на 2022 г. Google все още не е открил активен експлойт.

Инструменти като Heliconia могат да бъдат използвани от заплахи, за да се насочат към лица и организации. Мета разследване по-рано тази година разкри, че наблюдението в частния сектор е огромна и разрастваща се област и е идентифицирана 50 000 потребители от 100 държави шпиониран през 2021 г.

Изследователите на TAG от Google Clément Leysin и Benoît Sevens отбелязаха: „Изследванията на TAG показаха разпространението на търговското наблюдение и степента, до която доставчиците на търговски шпионски софтуер са разработили възможности, които преди са били достъпни само за правителства с големи джобове и технически опит.“

„Растежът на индустрията за шпионски софтуер излага потребителите на риск и прави интернет по-малко сигурен и докато технологията за наблюдение може да е законна съгласно националните или международните закони, тя често се използва по злонамерени начини за извършване на дигитален шпионаж срещу редица групи.“

Известните разработчици на шпионски софтуер Pegasus, NSO Group и Candiru, и двамата в списъка на юридическите лица на Министерството на търговията на САЩ, бяха забранени от правителството на САЩ заради ролята им в разрешаването на шпионски операции. Не е ясно дали Variston IT ще стигне до Entity List, тъй като Google не намери доказателства за активен експлойт.

Констатациите обаче дават аргумент на засегнатите компании да съдят Variston IT на основание, че продуктът на испанската компания може да се използва за шпионаж или кибератаки.

Обратно, същото разсъждение може да се приложи и към Google, чийто бизнес с рекламни технологии се основава изцяло на проследяване. Отговорност на регулаторите е да оформят определението за шпионски софтуер и дали той се прилага към телеметрията на рекламните технологии, заедно с частта, която се използва за обозначаване на киберпрестъпления, разбира се.

Уведомете ни дали ви е харесало да прочетете тази публикация LinkedinИ на Twitterили Facebook. Ще се радваме да чуем от вас!

Източник на изображението: shutterstock

Повече за киберсигурността