Понад 60 вразливостей нульового дня у продуктах Apple, Adobe, Google, Microsoft і Mozilla, які були виявлені з 2016 року, приписуються постачальникам комерційних шпигунських програм. Про це йдеться у новому звіті Google, повідомляє SecurityWeek.
Звіт технологічного гіганта містить дані про діяльність компаній, які допомагають урядам встановлювати шпигунське програмне забезпечення на пристрої. Хоча ці комерційні постачальники шпигунського ПЗ й стверджують, що їхні продукти та послуги використовуються лише для законного спостереження (як правило для цілей правоохоронних органів), численні розслідування показали, що репресивні режими використовують їх для нападу на політичних опонентів, журналістів, дисидентів і правозахисників.
Розробники комерційних шпигунських програм готові платити мільйони доларів за експлойти, які можуть надати їм повний контроль над пристроями, зокрема телефонами під управлінням Android та iOS, але ці компанії також можуть заробляти мільйони на одному клієнті.
Крім самого шпигунського ПЗ, замовнику надається початковий механізм доставки та необхідні експлойти, інфраструктура командування та контролю, а також інструменти для організації даних, викрадених зі зламаних пристроїв.
Група аналізу загроз Google (TAG) наразі відстежує приблизно 40 комерційних постачальників шпигунського програмного забезпечення, які розробляють і продають експлойти та зловмисне програмне забезпечення урядам.
У своєму останньому звіті Google називає 11 із цих постачальників. Серед них Candiru, Cy4Gate, DSIRF, Intellexa, Negg, NSO Group, PARS Defense, QuaDream, RCS Lab, Variston і Wintego Systems.
Компанія приписує цим компаніям понад 60 унікальних вразливостей нульового дня в Android, Chrome, iOS/macOS, WhatsApp і Firefox, виявлених з 2016 року. Цей список не включає відомі (n-денні) недоліки безпеки, які використовували постачальники шпигунського програмного забезпечення.
З 25 використаних вразливостей, які TAG виявив у 2023 році, 20 використовувалися постачальниками шпигунського ПЗ.
Крім того, такі фірми стоять за 35 із 72 нульових днів, використаних проти продуктів Google із середини 2014 року.
Інтернет-гігант зазначив, що це лише виявлені експлойти. Фактична кількість використаних вразливостей, імовірно, вища, оскільки є деякі експлойти, які досі не виявлені, або такі, які ще не пов’язані з постачальниками шпигунського ПЗ.
Коли Google й Apple виправляють вразливості нульового дня, їхні консультаційні центри інформують клієнтів про активну експлуатацію, але не надають жодної інформації про атаки чи зловмисників. В останньому звіті Google вперше пов’язано кілька з цих вразливостей нульового дня із конкретними постачальниками шпигунського ПЗ.
Наприклад, нульові дні iOS CVE-2023-28205 і CVE-2023-28206, для яких Apple поспішила випустити виправлення у квітні 2023 року, і CVE-2023-32409, виправлені у травні, були використані іспанською компанією «Варістон». Експлуатація вразливості Android CVE-2023-33063 тепер також пов’язана з цим постачальником шпигунського ПЗ.
Вразливості iOS, відстежувані як CVE-2023-42916 і CVE-2023-42917, щодо яких Apple нещодавно попередила про активне використання, були пов’язані з турецькою компанією PARS Defense.
CVE-2023-2033 і CVE-2023-2136, недоліки Chrome, виправлені Google у квітні, і CVE-2023-3079, розглянуті в червні, були приписані Intellexa.
CVE-2023-7024, восьмий патч нульового дня, виправлений у Chrome у 2023 році, тепер приписується NSO Group.
Коли у вересні виправили CVE-2023-5217, компанія Google попередила, що вразливість Chrome використав постачальник шпигунського ПЗ, але не вказала його назву. Новий звіт показує, що постачальником шпигунського ПЗ є ізраїльська компанія Candiru.
Вразливості Android CVE-2023-4211, CVE-2023-33106, CVE-2023-33107 приписують італійській фірмі Cy4Gate.
У понеділок уряд США оголосив про нову політику, яка дозволить вводити візові обмеження для іноземних осіб, причетних до зловживання комерційним шпигунським програмним забезпеченням.
Раніше ProIT повідомляв, що 50% ІТ-спеціалістів не перевіряють безпеку програм після їх випуску – опитування.
Крім того, ми писали, що опитування Broadcom показує повільний, але стабільний прогрес VSM.
Читайте також на ProIT, яким був 2023 рік для DevOps: огляд стану ринку.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!