В Google заявили, что с поставщиками коммерческого шпионского ПО связано 80% уязвимостей нулевого дня, обнаруженных в 2023 году специалистами Google Threat Analysis Group (TAG). Эти уязвимости использовались для слежения за различными устройствами и их владельцами по всему миру.

Группа Google TAG отслеживает деятельность 40 коммерческих поставщиков шпионского ПО, чтобы своевременно обнаруживать попытки эксплуатации уязвимостей, защитить пользователей своих продуктов и помочь обезопасить сообщество в целом, регулярно уведомляя соответствующие стороны об обнаруженных проблемах.

Отмечается, что как правило, поставщики шпионского ПО используют уязвимости нулевого дня для атак на журналистов, активистов и политических деятелей по заданию своих клиентов, включая правительства и частные организации.

Благодаря упомянутому мониторингу Google обнаружила, что 35 из 72 известных 0-day эксплоитов, затрагивающих ее продукты за последние десять лет, можно связать с поставщиками коммерческого шпионского ПО.

«Это оценка по нижней границе, поскольку она включает только известные 0-day эксплоиты. Фактическое количество таких эксплоитов, разработанных поставщиками коммерческого шпионского ПО и нацеленных на продукты Google, почти наверняка выше, учитывая те эксплоиты, которые не были обнаружены, эксплоиты, авторство которых неизвестно, и случаи, когда уязвимость была исправлена до того, как специалисты обнаружили признаки эксплуатации», — сообщает Google.

В отчете Google упоминаются известные поставщики коммерческой спайвари, включая Candiru, Cy4Gate, DSIRF, Intellexa, Negg, NSO Group, PARS Defense, QuaDream, RCS Lab, Variston и Wintego Systems. Вот данные о некоторых их них.

  • Cy4Gate и RCS Lab: итальянские фирмы, известные по шпионским программам Epeius и Hermit для Android и iOS. Первая приобрела вторую в 2022 году, но компании работают независимо друг от друга.
  • Intellexa: альянс фирм, занимающихся разработкой шпионских программ, возглавляемый Талом Дилианом (Tal Dilian) с 2019 года. Объединяет такие разработки, как Predator от компании Cytrox и Wi-Fi инструменты WiSpear, предлагающие интегрированные решения для слежки.
  • Negg Group: итальянская фирма с международным охватом. Основана в 2013 году. Известна спайварью Skygofree и VBiss, нацеленной на мобильные устройства, которые атакует, используя цепочки эксплоитов.
  • NSO Group: израильская компания, известная спайварью Pegasus и другими сложными инструментами для шпионажа. Продолжает свою деятельность, несмотря на многочисленные санкции и юридические проблемы.
  • Variston: испанская компания, предлагающая индивидуальные решения в области безопасности. Сотрудничает с брокерами эксплоитов нулевого дня и связана с фреймворком Heliconia, развивающимся в ОАЭ.

Перечисленные компании продают лицензии на использование своих продуктов за миллионы долларов, позволяя клиентам заражать устройства Android или iOS с помощью недокументированных 1-click и zero-click эксплоитов. Некоторые цепочки эксплоитов также используют и n-day уязвимости, то есть известные ошибки, для которых уже доступны исправления, но задержки с распространением и установкой патчей все равно делают их пригодными для использования в атаках.

Google утверждает, что поставщики легальной спайвари стали очень агрессивны в своей охоте за уязвимостями нулевого дня, разработав как минимум 33 эксплоита в период с 2019 по 2023 год.

В приложении к отчету компании можно найти список из 74 0-day багов, используемых 11 поставщиками коммерческого шпионского ПО. Большинство из них затрагивают Google Chrome (24) и Android (20), за ними следуют Apple iOS (16) и Windows (6).

Также же в отчете отмечается, что когда ИБ-специалисты обнаруживают и устраняют такие уязвимости, создатели спайвари несут значительные операционные и финансовые потери, и пытаются найти альтернативные пути для заражений.

«Каждый раз, когда Google и другие исследователи обнаруживают и сообщают о новых уязвимостях, это создает трудности для поставщиков коммерческого шпионского ПО и удорожает их циклы разработки, — говорят в Google. — Когда мы обнаруживаем и исправляем уязвимости, используемые в цепочках эксплоитов, это не только защищает пользователей, но и мешаем таким компаниям выполнять свои обязательства перед клиентами, не позволяя им получать прибыль и увеличивая их расходы на продолжение деятельности».

Однако эксперты говорят, что этого недостаточно, чтобы остановить распространение спайвари, поскольку спрос на эти инструменты велик, а контракты слишком выгодны для компаний-разработчиков, чтобы просто от них отказаться.

Google призывает переходить к более активным действиям против индустрии шпионского ПО, включая повышение уровня сотрудничества между правительствами, введение строгих правил, регулирующих использование технологий наблюдения, и дипломатические меры в отношении стран, в которых работают поставщики, не соблюдающие правила.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии