Una serie de vulnerabilidades de día cero que se abordaron el año pasado fueron explotadas por proveedores comerciales de software espía para apuntar a dispositivos Android e iOS, reveló el Grupo de Análisis de Amenazas (TAG) de Google.
Las dos campañas distintas fueron limitadas y altamente dirigidas, aprovechando la brecha de parches entre el lanzamiento de una corrección y cuando realmente se implementó en los dispositivos objetivo. Actualmente se desconoce la escala de las dos campañas y la naturaleza de los objetivos.
“Estos proveedores están permitiendo la proliferación de herramientas de piratería peligrosas, armando a los gobiernos que no podrían desarrollar estas capacidades internamente”, dijo Clement Lecigne de TAG. dicho en un nuevo informe.
“Si bien el uso de tecnologías de vigilancia puede ser legal según las leyes nacionales o internacionales, a menudo los gobiernos las utilizan para atacar a disidentes, periodistas, trabajadores de derechos humanos y políticos de partidos de oposición”.
La primera de las dos operaciones tuvo lugar en noviembre de 2022 e implicó el envío de enlaces acortados a través de mensajes SMS a usuarios ubicados en Italia, Malasia y Kazajstán.
Al hacer clic, las URL redirigían a los destinatarios a páginas web que albergaban exploits para Android o iOS, antes de ser redirigidos nuevamente a sitios web legítimos de noticias o seguimiento de envíos.
La cadena de exploits de iOS aprovechó varios errores, incluido CVE-2022-42856 (entonces de día cero), CVE-2021-30900y un código de autenticación de puntero (PAC) derivaciónpara instalar un Archivo .IPA en el dispositivo susceptible.
La cadena de exploits de Android constaba de tres exploits: CVE-2022-3723, CVE-2022-4135 (un día cero en el momento del abuso) y CVE-2022-38181 – para entregar una carga útil no especificada.
Mientras CVE-2022-38181un error de escalada de privilegios que afectaba al controlador del kernel GPU de Mali, fue parcheado por Arm en agosto de 2022, no se sabe si el adversario ya estaba en posesión de un exploit para la falla antes del lanzamiento del parche.
Otro punto a tener en cuenta es que los usuarios de Android que hicieron clic en el enlace y lo abrieron en el navegador de Internet de Samsung fueron redirigidos a Chrome usando un método llamado redirección de intenciones.
La segunda campaña, observada en diciembre de 2022, consistió en varios días cero y días n dirigidos a la última versión del navegador de Internet de Samsung, con los exploits entregados como enlaces únicos a través de SMS a dispositivos ubicados en los Emiratos Árabes Unidos.
¡Conviértase en un profesional de respuesta a incidentes!
Descubra los secretos de la respuesta a incidentes a prueba de balas: ¡domine el proceso de 6 fases con Asaf Perlman, líder de IR de Cynet!
La página web, similar a las que utilizó la empresa española de spyware Variston IT, finalmente implantó un conjunto de herramientas malicioso basado en C++ capaz de recopilar datos de las aplicaciones de chat y navegador.
Los defectos explotados constituyen CVE-2022-4262, CVE-2022-3038, CVE-2022-22706, CVE-2023-0266y CVE-2023-26083. Se cree que la cadena de explotación fue utilizada por un cliente o socio de Variston IT.
Amnistía Internacional, en un informe coordinado, describió la campaña de piratería de diciembre de 2022 como avanzada y sofisticada y que el exploit fue “desarrollado por una empresa comercial de vigilancia cibernética y vendido a piratas informáticos gubernamentales para llevar a cabo ataques de spyware”.
“La campaña de software espía recién descubierta ha estado activa desde al menos 2020 y se dirigió a dispositivos móviles y de escritorio, incluidos los usuarios del sistema operativo Android de Google”, dijo la organización no gubernamental internacional. dicho. “El spyware y los exploits de día cero se entregaron desde una extensa red de más de 1000 dominios maliciososincluidos dominios que falsifican sitios web de medios en varios países”.
Dicho esto, actualmente se desconoce la escala de las dos campañas y la naturaleza de los objetivos.
Las revelaciones se producen pocos días después de que el gobierno de EE. UU. anunciara una orden ejecutiva que restringe a las agencias federales el uso de software espía comercial que presenta un riesgo para la seguridad nacional.
“Estas campañas son un recordatorio de que la industria del spyware comercial continúa prosperando”, dijo Lecigne. “Incluso los proveedores de vigilancia más pequeños tienen acceso a los días cero, y los proveedores que almacenan y usan vulnerabilidades de día cero en secreto representan un grave riesgo para Internet”.
“Estas campañas también pueden indicar que los proveedores de vigilancia comparten exploits y técnicas, lo que permite la proliferación de herramientas de piratería peligrosas”.