I ricercatori di sicurezza informatica del Threat Analysis Group (TAG) di Google affermano che un'azienda commerciale spagnola ha sviluppato una rete di exploit (si apre in una nuova scheda) per Windows, Chrome e Firefox e probabilmente l'ha venduta per ultima a enti governativi.
In un post sul blog pubblicato all'inizio di questa settimana, il team TAG afferma che una società con sede a Barcellona chiamata Variston IT è probabilmente collegata al framework Heliconia, che sfrutta le vulnerabilità di n-day in Chrome, Firefox e Microsoft Defender (si apre in una nuova scheda ). Indica inoltre che l'azienda probabilmente ha fornito tutti gli strumenti necessari per distribuire un payload a un endpoint di destinazione (si apre in una nuova scheda).
Nessuno sfruttamento attivo
Tutte le aziende interessate presentavano vulnerabilità risolte che erano state sfruttate attraverso il framework Heliconia nel 2021 e all'inizio del 2022 e poiché TAG non ha rilevato vulnerabilità attive, molto probabilmente il framework è stato utilizzato nei giorni zero. Tuttavia, per proteggersi completamente da Heliconia, TAG suggerisce a tutti gli utenti di mantenere aggiornato il proprio software.
Google è stato avvisato per la prima volta dell'esistenza di Heliconia tramite un invio anonimo al programma di segnalazione bug di Chrome (si apre in una nuova scheda). Chiunque abbia inviato la proposta ha aggiunto tre bug, ciascuno con istruzioni e un file di codice sorgente. Si chiamavano "Heliconia Noise", "Heliconia Soft" e "Files". Ulteriori analisi hanno dimostrato che contenevano "framework per l'implementazione di exploit in the wild" e che il codice sorgente puntava a Variston IT.
Heliconia Noise è descritto come un framework per implementare un exploit per un bug di rendering di Chrome, seguito da una fuga sandbox. Heliconia Soft, invece, è un framework web che implementa un PDF contenente un exploit per Windows Defender, mentre Files è una raccolta di exploit per Firefox (si apre in una nuova scheda) presenti sia su Windows che su Linux. .
Poiché l'exploit Heliconia funziona sulle versioni 64-68 di Firefox, è probabile che fosse in uso alla fine del 2018, suggerisce Google.
Parlando a TechCrunch, il CIO di Variston Ralf Wegner ha detto che la società non era a conoscenza delle ricerche di Google e non poteva convalidare i risultati, ma ha aggiunto che sarebbe "sorpreso se un tale elemento fosse trovato in natura".
Lo spyware commerciale (si apre in una nuova scheda) è un settore in crescita, afferma Google, aggiungendo che non resterà a guardare mentre queste entità vendono vulnerabilità ai governi che poi le usano per attaccare oppositori, politici, giornalisti, attivisti per i diritti umani e dissidenti.
Forse l'esempio più famoso è NSO Group con sede in Israele e il suo spyware Pegasus, che ha inserito l'azienda nella lista nera negli Stati Uniti.
Via: TechCrunch (si apre in una nuova scheda)