Hiszpańska firma szpiegowała urządzenia wykorzystując podatności zero-day

Google twierdzi, że hiszpańska firma Variston (która oferuje zaawansowane technicznie rozwiązania IT w obszarze bezpieczeństwa oraz oprogramowanie spyware) wstawiła do swojego narzędzia Heliconia malware wykorzystujący kilka luk dnia zerowego, które znajdowały się w systemie Windows oraz w przeglądarkach Chrome i Firefox.

Grafika: Jack Moreh/freerangestock

Informację taką podała wchodząca w skład Google grupa TAG (Threat Analysis Group). Twierdzi ona, że wykryła iż Variston oferował użytkownikom narzędzie, do którego celowo wstawił rozwiązania pozwalające przeprowadzać ataki zero-day. Informatycy Google wzięli pod lupę to narzędzie i stwierdzili, że wchodzący w jego skład kod zawiera rozwiązania pozwalające osadzać w pamięci zaatakowanego urządzenia taki właśnie program szpiegujący. Narzędzie to składa się zasadniczo z trzech oddzielnych środowisk eksploatacyjnych.

Pierwsze środowisko zawiera exploita wykorzystującego lukę znajdującą się w przeglądarce Chrome (konkretnie w silniku renderowania), natomiast drugie wdraża złośliwy dokument PDF, zawierający exploit atakujący oprogramowanie Windows Defender, czyli domyślny silnik antywirusowy wchodzący w skład systemu Windows. Trzecie środowisko zawiera zestaw exploitów atakujących przeglądarki Firefox zainstalowane na komputerach z systemami Windows i Linux.

Zobacz również:

Google informuje, że Heliconia atakuje tylko niektóre wersje przeglądarki Firefox (oznaczone numerami od 64 do 68). Oznacza to, że malware musiał powstać nie później niż w grudniu 2018 roku, gdyż wtedy właśnie Firefox 64 został udostępniony użytkownikom po raz pierwszy. Google twierdzi, że chociaż po wykryciu tego zagrożenia nie zauważył ataków wykorzystujących luki zero-day, to mogły one mieć miejsce w przeszłości. Dzisiaj nie jest to możliwe, gdyż Google, Microsoft i Mozilla naprawiły w 2021 i w 20022 roku podatności umożliwiające takie ataki.

Firma Variston jak dotąd nie potwierdza tych doniesień i twierdzi, że nie ma żadnej wiedzy na ten temat. Z kolei Google napisał na firmowym blogu, że komercyjne oprogramowanie szpiegujące podobne do tego, jakie znajduje się w oprogramowaniu Heliconia, było wcześniej oferowane rządom. A jest to zaawansowane technicznie oprogramowanie, pozwalające nagrywać dźwięk, obraz, przekierowywać połączenia telefoniczne, jak również kraść dane, takie jak wiadomości tekstowe, dzienniki połączeń, kontakty i szczegółowe dane dotyczące lokalizacji GPS.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200