Skupina pre analýzu hrozieb spoločnosti Google oznámila svoj objav exploitu, ktorý využíval teraz opravené zraniteľnosti na šírenie spywaru. Španielska IT firma Variston bola spojená s exploitom.
Španielska IT firma mohla využiť zraniteľnosť systému Windows
30. novembra 2022 skupina Google pre analýzu hrozieb (TAG) oznámila v a Blogový príspevok Google že rámec využívania s názvom „Heliconia“ môže mať väzby na španielsku IT firmu Variston. Rámec využíval teraz opravené zraniteľnosti prehliadača Chrome, Firefox a Microsoft Defender na nasadenie nebezpečný spyware.
Variston, údajný poskytovateľ bezpečnostných riešení, má sídlo v Barcelone a mohol využiť n-day zraniteľnosti na šírenie spywaru. N-day zraniteľnosti sa týkajú zneužitých bezpečnostných chýb, ktoré boli opravené. Výskumníci TAG spoločnosti Google sa však domnievajú, že tieto zraniteľnosti boli použité zero-day exploity vo voľnej prírode pred náplasťami.
Heliconia Framework môže nasadiť komerčný spyware
Skupina pre analýzu hrozieb Google bola pôvodne informovaná o systéme Heliconia prostredníctvom odoslania anonymného používateľa v službe hlásenia chýb. Používateľ, ktorý nahlásil tri chyby, vymyslel názov „Heliconia“. Tieto tri správy boli pomenované „Heliconia Noise“, „Heliconia Soft“ a „Files“.
Heliconia Noise je rámec, ktorý nasadzuje zneužitie systému Windows na chybu vykresľovania prehliadača Chrome, po ktorej nasleduje únik do karantény Chrome a inštalácia agenta. Verzie prehliadača Chrome 90.0.4430.72 až 91.0.4472.106 (v období od apríla do júna 2021) boli vystavené tomuto zneužitiu do augusta 2021.
Rámec Heliconia Soft nasadzuje súbor PDF obsahujúci zneužitie programu Windows Defender. Súbory pozostávajú z rôznych exploitov pre systémy Linux aj Windows.
Heliconia sa zaoberá šírením komerčného spywaru na cielených zariadeniach. Ako je uvedené v príspevku TAG spoločnosti Google k tejto záležitosti, tento druh škodlivého programu vkladá „pokročilé možnosti sledovania ruky vlád, ktoré ich využívajú na špehovanie novinárov, aktivistov za ľudské práva, politickú opozíciu a disidenti“.
TAG spoločnosti Google sa zaviazala bojovať proti komerčnému spywaru
TAG spoločnosti Google uzavrel svoj blogový príspevok týkajúci sa rámca Heliconia, že „rast odvetvia spywaru vystavuje používateľov riziku a znižuje bezpečnosť internetu“. Komerčný spyware môže byť zneužitý aj vtedy, ak „technológia sledovania môže byť legálna podľa vnútroštátnych alebo medzinárodných zákonov“.
Kvôli tomuto nebezpečenstvu Google a TAG uviedli, že budú „naďalej podnikať kroky proti komerčnému spywarovému priemyslu a zverejňovať výskum o ňom“.
Spyware predstavuje riziko pre milióny používateľov internetu
Spyware možno využiť na monitorovanie digitálnej aktivity ľudí bez ich povolenia alebo vedomia. Súkromné údaje sú zraniteľné voči krádeži prostredníctvom spywaru, ktorý môže byť použitý v prospech útočníka a zneužitia cieľa. Hoci komerčný spyware môže byť v niektorých krajinách legálny, stále môže byť používaný neeticky a môže ohroziť občanov. To je dôvod, prečo tímy, ako je TAG spoločnosti Google, sa snažia neustále identifikovať, monitorovať a riešiť takéto programy.