Групата за анализ на заплахите на Google обяви откриването на рамка за експлойт, която използва вече коригирани уязвимости за разпространение на шпионски софтуер. Испанската ИТ фирма Variston е свързана с експлойта.
Испанска ИТ фирма може да е използвала уязвимост на Windows
На 30 ноември 2022 г. Групата за анализ на заплахи (TAG) на Google обяви в Публикация в блог на Google че рамка за експлоатация, наречена „Heliconia“, може да има връзки с испанската ИТ фирма Variston. Рамката използва вече коригирани уязвимости на Chrome, Firefox и Microsoft Defender, за да се внедри опасен шпионски софтуер.
Variston, въпросният предполагаем доставчик на решения за сигурност, е базиран в Барселона и може да е използвал n-дневни уязвимости за разпространение на шпионски софтуер. N-дневните уязвимости се отнасят до експлоатирани пропуски в сигурността, които са били коригирани. Изследователите на TAG от Google обаче смятат, че тези уязвимости са използвани за
zero-day подвизи в дивата природа преди пачовете.Heliconia Framework може да внедри търговски шпионски софтуер
Групата за анализ на заплахите на Google първоначално беше уведомена за рамката на Heliconia чрез изпращане на услугата за докладване на грешки от анонимен потребител. Потребителят, който съобщи за три грешки, измисли името "Heliconia". Трите доклада бяха съответно наречени „Heliconia Noise“, „Heliconia Soft“ и „Files“.
Heliconia Noise е рамка, която внедрява експлойт на Windows за грешка в рендеринга на Chrome, която след това е последвана от бягство в пясъчника на Chrome и инсталиране на агент. Версиите на Chrome от 90.0.4430.72 до 91.0.4472.106 (вариращи от април до юни 2021 г.) бяха изложени на този експлойт до август 2021 г.
Рамката Heliconia Soft внедрява PDF, съдържащ експлойт на Windows Defender. Файловете се състоят от различни експлойти за Linux и Windows системи.
Heliconia се занимава с разпространението на комерсиален шпионски софтуер на целеви устройства. Както е посочено в публикацията на Google в TAG по въпроса, този вид злонамерена програма поставя „усъвършенствани възможности за наблюдение в ръцете на правителства, които ги използват, за да шпионират журналисти, активисти за правата на човека, политическа опозиция и дисиденти."
TAG на Google се ангажира да се справи с търговския шпионски софтуер
TAG на Google заключи своята публикация в блога относно рамката на Heliconia, че „разрастването на шпионската индустрия излага потребителите на риск и прави интернет по-малко безопасен“. С комерсиалния шпионски софтуер може да се злоупотребява, дори ако „технологията за наблюдение може да е законна съгласно националните или международни закони“.
Поради тази опасност Google и TAG заявиха, че "ще продължат да предприемат действия срещу и да публикуват изследвания за индустрията на комерсиалния шпионски софтуер".
Шпионският софтуер представлява риск за милиони интернет потребители
Шпионският софтуер може да се използва за наблюдение на дигиталната дейност на хората без тяхното разрешение или знание. Личните данни са уязвими за кражба чрез шпионски софтуер, който може да се използва както в полза на нападателя, така и в експлоатация на целта. Въпреки че комерсиалният шпионски софтуер може да е законен в определени нации, той все още може да се използва неетично и може да изложи гражданите на риск. Ето защо екипи като TAG на Google се стремят да идентифицират, наблюдават и да се справят с подобни програми непрекъснато.
