Google’ın Tehdit Analizi Grubundan (TAG) siber güvenlik araştırmacıları, İspanya’dan bir ticari şirketin bir istismar ağı geliştirdiğini söylüyor (yeni sekmede açılır) Windows, Chrome ve Firefox için ve muhtemelen geçmişte bir ara devlet kurumlarına sattı.
Bu haftanın başlarında yayınlanan bir blog gönderisinde TAG ekibi, Variston IT adlı Barselona merkezli bir şirketin büyük olasılıkla Chrome, Firefox ve Microsoft Defender’daki n günlük güvenlik açıklarından yararlanan Heliconia çerçevesine bağlı olduğunu söylüyor. (yeni sekmede açılır). Ayrıca, şirketin bir yükü hedef uç noktaya dağıtmak için gereken tüm araçları büyük olasılıkla sağladığını da söylüyor. (yeni sekmede açılır).
Aktif istismar yok
Etkilenen tüm şirketler, 2021’de ve 2022’nin başlarında Heliconia çerçevesi aracılığıyla istismar edilen güvenlik açıklarını düzeltti ve TAG’nin herhangi bir aktif istismar bulmadığı göz önüne alındığında, çerçeve büyük olasılıkla sıfır günde kullanıldı. Yine de, Heliconia’ya karşı tamamen korunmak için TAG, tüm kullanıcılara yazılımlarını güncel tutmalarını önerir.
Google, Heliconia’ya ilk olarak Chrome’a anonim bir gönderim yoluyla uyarıldı (yeni sekmede açılır) hata raporlama programı. Gönderimi kim yaptıysa, her biri talimatlar ve kaynak kodunu içeren bir arşiv içeren üç hata ekledi. Bunlar “Heliconia Noise”, “Heliconia Soft” ve “Files” olarak adlandırıldı. Daha ayrıntılı analizler, bunların “açık havada açıkları dağıtmak için çerçeveler” içerdiğini ve kaynak kodunun Variston IT’ye işaret ettiğini göstermiştir.
Heliconia Noise, bir Chrome oluşturucu hatası için bir açıktan yararlanmayı ve ardından bir sanal alan kaçışını dağıtmak için bir çerçeve olarak tanımlanır. Öte yandan Heliconia Soft, Windows Defender için bir istismar içeren bir PDF dağıtan bir web çerçevesidir, Dosyalar ise bir Firefox setidir. (yeni sekmede açılır) hem Windows hem de Linux’ta bulunan istismarlar.
Google, Heliconia istismarının Firefox 64 – 68 sürümlerinde çalıştığı göz önüne alındığında, muhtemelen 2018’in sonlarında kullanıldığını öne sürüyor.
TechCrunch’a konuşan Variston BT direktörü Ralf Wegner, şirketin Google’ın araştırmasından haberdar olmadığını ve bulguları doğrulayamadığını söyledi, ancak “böyle bir öğe vahşi doğada bulunursa şaşıracağını” da sözlerine ekledi.
Ticari casus yazılım (yeni sekmede açılır) Google, büyüyen bir sektör olduğunu ve bu kuruluşların daha sonra bunu siyasi muhalifleri, gazetecileri, insan hakları aktivistlerini ve muhalifleri hedef almak için kullanacak olan hükümetlere güvenlik açığı istismarları sattığı için boş durmayacağını da sözlerine ekledi.
Belki de en ünlü örnek, şirketi Amerika Birleşik Devletleri’nin kara listesine sokan İsrail merkezli NSO Group ve onun Pegasus casus yazılımıdır.
Aracılığıyla: TechCrunch (yeni sekmede açılır)
