- Новости
- ИСПАНСКАЯ КОМПАНИЯ ВНЕДРЯЕТ ШПИОНСКИЕ ПРОГРАММЫ
ИСПАНСКАЯ КОМПАНИЯ ВНЕДРЯЕТ ШПИОНСКИЕ ПРОГРАММЫ
Новости Русской Испании 9 декабря 2022Эксперты по безопасности компании Google выявили вредоносный фреймворк, атаковавший уже исправленные уязвимости в браузерах Google Chrome, Mozilla Firefox и антивирусе Microsoft Defender. По утверждению экспертов, речь шла о коммерческом кибершпионском продукте испанского производства.
Группа по анализу угроз Google (Threat Analysis Group) выявила фреймворк для эксплуатации уязвимостей в браузерах Google Chrome и Mozilla Firefox, а также антивирусе Windows Defender. По мнению исследователей, фреймворк был разработан в коммерческих целях испанской компанией Variston IT из Барселоны.
Variston официально занимается разработками специализированных средств защиты информации. Однако, как утверждают в TAG, эта фирма также разрабатывает разнообразные коммерческие средства слежки и шпионажа.
Ее флагманским продуктом является комплекс Heliconia, включающий три основных компонента, каждый из которых нацелен на эксплуатацию определенных уязвимостей в разных программных пакетах.
Heliconia Noise, в частности, представляет собой веб-фреймворк для эксплуатации уязвимости в рендерере Chrome, которая позволяет выходить за пределы безопасной среды («песочницы») и устанавливать программные агенты на целевом устройстве.
Heliconia Soft — это еще один фреймворк, который с помощью файлов PDF эксплуатирует уязвимость в Windows Defender CVE-2021-42298. Уязвимость позволяет осуществлять запуск произвольного кода удаленно.
Heliconia Files — это набор эксплойтов к Firefox как под Windows, так и под Linux. Одна из эксплуатируемых уязвимостей отслеживалась как CVE-2022-26485.
Все эти уязвимости были исправлены в конце 2021 — начале 2022 гг. По всей видимости, операторы фреймворка использовали перечисленные уязвимости лишь до тех пор, пока о тех не было ничего известно вендорам.
Эксперты TAG указывают, что Heliconia Noise и Heliconia Soft в итоге загружают в систему некий программный агент под названием agent_simple. Однако в той версии фреймворка, которую удалось проанализировать экспертам TAG, агент был простой болванкой, которая не выполняла никаких вредоносных функций и вообще прекращала работу сразу после запуска.
Не исключено, что конечные клиенты Heliconia использовали собственные агенты.
На протяжении 2022 г. TAG неоднократно публиковала информацию о других поставщиках шпионских инструментов, в числе которых итальянская компания RCS Labs, поставлявшая средства слежки за жителями Италии и Казахстана (причем при непосредственной поддержке интернет-провайдеров), и Cytrox, чьи шпионские инструменты использовались для слежки за людьми по всему миру.
Всего, как утверждают исследователи, они отслеживают около 30 поставщиков шпионских инструментов с разной степенью публичности. Некоторые действуют вполне открыто, некоторые прикрываются каким-то более невинным бизнесом, остальные работают в условиях секретности. Различается и степень продвинутости их разработок. Клиентами в большей части случаев являются спецслужбы или хакерские коллективы, сотрудничающие с разведками.
В Google TAG указывают на то, что рост кибершпионской индустрии ставит под угрозу безопасность слишком большого количества людей, и что эксперты Google продолжат бороться или как минимум опубличивать деятельность разработчиков шпионских программ.
09.12.22
russianspain.com