Группа анализа угроз Google объявила об обнаружении системы эксплойтов, которая использовала уже исправленные уязвимости для распространения шпионского ПО. Испанская ИТ-компания Variston была связана с эксплойтом.
Испанская ИТ-компания могла использовать уязвимость Windows
30 ноября 2022 года Группа анализа угроз Google (TAG) объявила в сообщение в блоге Google что платформа эксплуатации под названием «Heliconia» может быть связана с испанской ИТ-фирмой Variston. Платформа использовала уже исправленные уязвимости Chrome, Firefox и Microsoft Defender для развертывания опасное шпионское ПО.
Variston, предполагаемый поставщик решений для обеспечения безопасности, базируется в Барселоне и, возможно, использовал уязвимости n-day для распространения шпионского ПО. Уязвимости N-day относятся к используемым уязвимостям безопасности, которые были исправлены. Однако исследователи Google TAG считают, что эти уязвимости использовались для
эксплойты нулевого дня в дикой природе до патчей.Heliconia Framework может развертывать коммерческое шпионское ПО
Группа анализа угроз Google первоначально узнала о структуре Heliconia через отправку сообщения об ошибках анонимным пользователем в ее службу отчетов об ошибках. Пользователь, сообщивший о трех ошибках, придумал название «Геликония». Три отчета были названы «Heliconia Noise», «Heliconia Soft» и «Files» соответственно.
Heliconia Noise — это фреймворк, который развертывает эксплойт Windows для ошибки рендерера Chrome, за которым следует выход из песочницы Chrome и установка агента. Версии Chrome с 90.0.4430.72 по 91.0.4472.106 (с апреля по июнь 2021 г.) подвергались этой уязвимости до августа 2021 г.
Платформа Heliconia Soft развертывает PDF-файл, содержащий эксплойт Защитника Windows. Файлы состоят из различных эксплойтов для систем Linux и Windows.
Heliconia занимается распространением коммерческого шпионского ПО на целевых устройствах. Как говорится в сообщении Google TAG по этому поводу, такая вредоносная программа предоставляет «расширенные возможности наблюдения в руки правительств, которые используют их для слежки за журналистами, правозащитниками, политической оппозицией и диссиденты».
TAG Google стремится бороться с коммерческими шпионскими программами
TAG Google завершила свое сообщение в блоге о структуре Heliconia тем, что «рост индустрии шпионского ПО подвергает пользователей риску и делает Интернет менее безопасным». Коммерческими шпионскими программами можно злоупотреблять, даже если «технология наблюдения может быть законной в соответствии с национальным или международным законодательством».
Из-за этой опасности Google и TAG заявили, что они «продолжат принимать меры против индустрии коммерческого шпионского ПО и публиковать исследования».
Шпионское ПО представляет опасность для миллионов пользователей Интернета
Шпионское ПО может использоваться для отслеживания цифровой активности людей без их разрешения или ведома. Частные данные уязвимы для кражи с помощью шпионского ПО, которое может быть использовано как для получения выгоды злоумышленником, так и для использования цели. Хотя коммерческое шпионское ПО может быть законным в некоторых странах, его все же можно использовать неэтично и подвергать граждан опасности. Вот почему такие команды, как Google TAG, стремятся постоянно выявлять, отслеживать и бороться с такими программами.
