Skupina pro analýzu hrozeb společnosti Google oznámila svůj objev exploitu, který k šíření spywaru používal nyní opravené zranitelnosti. Španělská IT firma Variston byla spojena s exploitem.
Španělská IT firma mohla zneužít chybu zabezpečení systému Windows
Dne 30. listopadu 2022 skupina Google pro analýzu hrozeb (TAG) oznámila v a Příspěvek na blogu Google že framework pro využívání s názvem „Heliconia“ může mít vazby na španělskou IT firmu Variston. Framework využíval nyní opravené zranitelnosti Chrome, Firefox a Microsoft Defender k nasazení nebezpečný spyware.
Variston, údajný poskytovatel bezpečnostních řešení v otázce, sídlí v Barceloně a mohl zneužít n-day zranitelnosti k šíření spywaru. N-day zranitelnosti se týkají zneužitých bezpečnostních chyb, které byly opraveny. Výzkumníci TAG společnosti Google se však domnívají, že tyto zranitelnosti byly použity zero-day exploity ve volné přírodě před záplatami.
Heliconia Framework může nasadit komerční spyware
Skupina pro analýzu hrozeb Google byla původně seznámena s rámcem Heliconia prostřednictvím příspěvku ve službě hlášení chyb od anonymního uživatele. Uživatel, který nahlásil tři chyby, vymyslel název „Heliconia“. Tyto tři zprávy byly pojmenovány „Heliconia Noise“, „Heliconia Soft“ a „Files“.
Heliconia Noise je framework, který nasazuje exploit Windows pro chybu vykreslování Chrome, po které pak následuje únik z karantény Chrome a instalace agenta. Verze Chrome 90.0.4430.72 až 91.0.4472.106 (v období od dubna do června 2021) byly tomuto zneužití vystaveny až do srpna 2021.
Rámec Heliconia Soft nasazuje soubor PDF obsahující exploit Windows Defender. Soubory obsahují různé exploity pro systémy Linux i Windows.
Heliconia se zabývá šířením komerčního spywaru na cílená zařízení. Jak je uvedeno v příspěvku TAG společnosti Google k této záležitosti, tento druh škodlivého programu vkládá „pokročilé možnosti sledování rukou vlád, které je využívají ke špehování novinářů, aktivistů za lidská práva, politické opozice a disidenti."
TAG společnosti Google se zavázal bojovat proti komerčnímu spywaru
Google TAG uzavřel svůj blogový příspěvek týkající se rámce Heliconia, že „růst spywarového průmyslu vystavuje uživatele riziku a činí internet méně bezpečným“. Komerční spyware může být zneužit, i když „technologie sledování může být legální podle národních nebo mezinárodních zákonů“.
Kvůli tomuto nebezpečí Google a TAG prohlásily, že „budou nadále podnikat kroky proti komerčnímu spywarovému průmyslu a zveřejňovat o něm výzkum“.
Spyware představuje riziko pro miliony uživatelů internetu
Spyware lze využít ke sledování digitální aktivity lidí bez jejich svolení nebo vědomí. Soukromá data jsou zranitelná vůči krádeži prostřednictvím spywaru, který může být použit ve prospěch útočníka i zneužití cíle. Zatímco komerční spyware může být v některých zemích legální, stále může být používán neeticky a může ohrozit občany. To je důvod, proč týmy, jako je TAG společnosti Google, se snaží takové programy neustále identifikovat, monitorovat a řešit.