Хакер #305. Многошаговые SQL-инъекции
В Google заявили, что с поставщиками коммерческого шпионского ПО связано 80% уязвимостей нулевого дня, обнаруженных в 2023 году специалистами Google Threat Analysis Group (TAG). Эти уязвимости использовались для слежения за различными устройствами и их владельцами по всему миру.
Группа Google TAG отслеживает деятельность 40 коммерческих поставщиков шпионского ПО, чтобы своевременно обнаруживать попытки эксплуатации уязвимостей, защитить пользователей своих продуктов и помочь обезопасить сообщество в целом, регулярно уведомляя соответствующие стороны об обнаруженных проблемах.
Отмечается, что как правило, поставщики шпионского ПО используют уязвимости нулевого дня для атак на журналистов, активистов и политических деятелей по заданию своих клиентов, включая правительства и частные организации.
Благодаря упомянутому мониторингу Google обнаружила, что 35 из 72 известных 0-day эксплоитов, затрагивающих ее продукты за последние десять лет, можно связать с поставщиками коммерческого шпионского ПО.
«Это оценка по нижней границе, поскольку она включает только известные 0-day эксплоиты. Фактическое количество таких эксплоитов, разработанных поставщиками коммерческого шпионского ПО и нацеленных на продукты Google, почти наверняка выше, учитывая те эксплоиты, которые не были обнаружены, эксплоиты, авторство которых неизвестно, и случаи, когда уязвимость была исправлена до того, как специалисты обнаружили признаки эксплуатации», — сообщает Google.
В отчете Google упоминаются известные поставщики коммерческой спайвари, включая Candiru, Cy4Gate, DSIRF, Intellexa, Negg, NSO Group, PARS Defense, QuaDream, RCS Lab, Variston и Wintego Systems. Вот данные о некоторых их них.
- Cy4Gate и RCS Lab: итальянские фирмы, известные по шпионским программам Epeius и Hermit для Android и iOS. Первая приобрела вторую в 2022 году, но компании работают независимо друг от друга.
- Intellexa: альянс фирм, занимающихся разработкой шпионских программ, возглавляемый Талом Дилианом (Tal Dilian) с 2019 года. Объединяет такие разработки, как Predator от компании Cytrox и Wi-Fi инструменты WiSpear, предлагающие интегрированные решения для слежки.
- Negg Group: итальянская фирма с международным охватом. Основана в 2013 году. Известна спайварью Skygofree и VBiss, нацеленной на мобильные устройства, которые атакует, используя цепочки эксплоитов.
- NSO Group: израильская компания, известная спайварью Pegasus и другими сложными инструментами для шпионажа. Продолжает свою деятельность, несмотря на многочисленные санкции и юридические проблемы.
- Variston: испанская компания, предлагающая индивидуальные решения в области безопасности. Сотрудничает с брокерами эксплоитов нулевого дня и связана с фреймворком Heliconia, развивающимся в ОАЭ.
Перечисленные компании продают лицензии на использование своих продуктов за миллионы долларов, позволяя клиентам заражать устройства Android или iOS с помощью недокументированных 1-click и zero-click эксплоитов. Некоторые цепочки эксплоитов также используют и n-day уязвимости, то есть известные ошибки, для которых уже доступны исправления, но задержки с распространением и установкой патчей все равно делают их пригодными для использования в атаках.
Google утверждает, что поставщики легальной спайвари стали очень агрессивны в своей охоте за уязвимостями нулевого дня, разработав как минимум 33 эксплоита в период с 2019 по 2023 год.
В приложении к отчету компании можно найти список из 74 0-day багов, используемых 11 поставщиками коммерческого шпионского ПО. Большинство из них затрагивают Google Chrome (24) и Android (20), за ними следуют Apple iOS (16) и Windows (6).
Также же в отчете отмечается, что когда ИБ-специалисты обнаруживают и устраняют такие уязвимости, создатели спайвари несут значительные операционные и финансовые потери, и пытаются найти альтернативные пути для заражений.
«Каждый раз, когда Google и другие исследователи обнаруживают и сообщают о новых уязвимостях, это создает трудности для поставщиков коммерческого шпионского ПО и удорожает их циклы разработки, — говорят в Google. — Когда мы обнаруживаем и исправляем уязвимости, используемые в цепочках эксплоитов, это не только защищает пользователей, но и мешаем таким компаниям выполнять свои обязательства перед клиентами, не позволяя им получать прибыль и увеличивая их расходы на продолжение деятельности».
Однако эксперты говорят, что этого недостаточно, чтобы остановить распространение спайвари, поскольку спрос на эти инструменты велик, а контракты слишком выгодны для компаний-разработчиков, чтобы просто от них отказаться.
Google призывает переходить к более активным действиям против индустрии шпионского ПО, включая повышение уровня сотрудничества между правительствами, введение строгих правил, регулирующих использование технологий наблюдения, и дипломатические меры в отношении стран, в которых работают поставщики, не соблюдающие правила.