De Threat Analysis Group van Google heeft de ontdekking aangekondigd van een exploit-framework dat nu gepatchte kwetsbaarheden gebruikte om spyware te verspreiden. Het Spaanse IT-bedrijf Variston wordt in verband gebracht met de exploit.
Een Spaans IT-bedrijf heeft mogelijk misbruik gemaakt van een Windows-kwetsbaarheid
Op 30 november 2022 kondigde de Threat Analysis Group (TAG) van Google in een Google-blogpost dat een exploitatieraamwerk met de naam "Heliconia" mogelijk banden heeft met het Spaanse IT-bedrijf Variston. Het framework maakte misbruik van de nu gepatchte Chrome-, Firefox- en Microsoft Defender-kwetsbaarheden om te implementeren gevaarlijke spyware.
Variston, de vermeende aanbieder van beveiligingsoplossingen in kwestie, is gevestigd in Barcelona en heeft mogelijk n-day-kwetsbaarheden misbruikt om spyware te verspreiden. N-day-kwetsbaarheden verwijzen naar uitgebuite beveiligingsfouten die zijn gepatcht. De TAG-onderzoekers van Google zijn echter van mening dat deze kwetsbaarheden werden gebruikt
zero-day exploits in het wild voorafgaand aan de patches.Heliconia Framework kan commerciële spyware implementeren
De Google Threat Analysis Group werd in eerste instantie door een anonieme gebruiker op de hoogte gebracht van het Heliconia-framework via een melding op zijn bugrapportageservice. De gebruiker, die drie bugs meldde, bedacht de naam "Heliconia". De drie rapporten werden respectievelijk "Heliconia Noise", "Heliconia Soft" en "Files" genoemd.
Heliconia Noise is een raamwerk dat een Windows-exploit implementeert voor een Chrome-renderer-bug, die vervolgens wordt gevolgd door een Chrome-sandbox-ontsnapping en agentinstallatie. De Chrome-versies 90.0.4430.72 tot 91.0.4472.106 (variërend van april tot juni 2021) werden tot augustus 2021 blootgesteld aan deze exploit.
Het Heliconia Soft-framework implementeert een pdf met een Windows Defender-exploit. De bestanden bestaan uit verschillende exploits voor zowel Linux- als Windows-systemen.
Heliconia houdt zich bezig met de verspreiding van commerciële spyware op gerichte apparaten. Zoals vermeld in de TAG-post van Google over deze kwestie, voegt dit soort kwaadaardig programma "geavanceerde bewakingsmogelijkheden toe de handen van regeringen die ze gebruiken om journalisten, mensenrechtenactivisten, politieke oppositie en dissidenten."
TAG van Google zet zich in voor de aanpak van commerciële spyware
De TAG van Google concludeerde zijn blogpost over het Heliconia-framework dat de "groei van de spyware-industrie gebruikers in gevaar brengt en het internet minder veilig maakt". Commerciële spyware kan worden misbruikt, zelfs als "surveillancetechnologie volgens nationale of internationale wetten legaal is".
Vanwege dit gevaar hebben Google en TAG verklaard dat ze "actie zullen blijven ondernemen tegen en onderzoek zullen blijven doen naar de commerciële spyware-industrie".
Spyware vormt een risico voor miljoenen internetgebruikers
Spyware kan worden gebruikt om de digitale activiteiten van mensen te volgen zonder hun toestemming of medeweten. Privégegevens zijn kwetsbaar voor diefstal via spyware, die kan worden gebruikt om zowel de aanvaller ten goede te komen als het doelwit uit te buiten. Hoewel commerciële spyware in bepaalde landen legaal is, kan het toch onethisch worden gebruikt en kan het burgers in gevaar brengen. Dit is de reden waarom teams zoals TAG van Google dergelijke programma's continu willen identificeren, monitoren en aanpakken.