Google araştırmacıları Çarşamba günü, Barselona, İspanya merkezli bir BT şirketini Chrome, Firefox ve Windows Defender’daki güvenlik açıklarından yararlanan gelişmiş yazılım çerçevelerinin satışına bağladıklarını söyledi.
Variston IT, gömülü SCADA (denetleyici kontrol ve veri toplama) ve Nesnelerin İnterneti entegratörleri için teknoloji, tescilli sistemler için özel güvenlik yamaları, veri keşfi için araçlar, güvenlik eğitimi ve Gömülü cihazlar için güvenli protokollerin geliştirilmesi. Google’ın Tehdit Analizi Grubu’nun bir raporuna göre Variston, web sitesinde bahsi geçmeyen başka bir ürün satıyor: müşterinin gözetlemek istediği cihazlara gizlice kötü amaçlı yazılım yüklemek için ihtiyaç duyduğu her şeyi sağlayan yazılım çerçeveleri.
Araştırmacılar Clement Lecigne ve Benoit Sevens, yararlanma çerçevelerinin, bazı hedeflerin henüz yüklemediği kadar yakın zamanda yamalı olan n günlük güvenlik açıklarından yararlanmak için kullanıldığını söyledi. Kanıtlar, çerçevelerin güvenlik açıkları sıfır gün olduğunda da kullanıldığını gösteriyor. Araştırmacılar bulgularını, patladığını ve çeşitli gruplar için tehdit oluşturduğunu söyledikleri casus yazılım pazarını bozmak amacıyla açıklıyorlar.
“TAG’ın araştırması, ticari gözetim endüstrisinin gelişmekte olduğunu ve son yıllarda önemli ölçüde genişleyerek dünyanın dört bir yanındaki İnternet kullanıcıları için risk oluşturduğunu vurguluyor” diye yazdılar. “Ticari casus yazılımlar; gazeteciler, insan hakları aktivistleri, siyasi muhalefet ve muhalifler hakkında casusluk yapmak için bunları kullanan hükümetlerin ellerine gelişmiş izleme yetenekleri veriyor.”
Araştırmacılar, Google’ın Chrome hata raporlama programı aracılığıyla anonim bir kaynaktan aldıkları çerçeveleri kataloglamaya devam ettiler. Her biri talimatlarla ve kaynak kodunu içeren bir arşivle geldi. Çerçeveler, Heliconia Noise, Heliconia Soft ve Files adlarıyla geldi. Çerçeveler, sırasıyla “Chrome, Windows Defender ve Firefox için açıkları dağıtabilen olgun kaynak kodu” içeriyordu.
Heliconia Noise çerçevesine, geliştiricileri suçlayabilecek dizeler içermediklerinden emin olmak için çerçeve tarafından üretilmeden önce ikili dosyaları temizleme kodu dahil edilmiştir. Temizleme betiğinin görüntüsünün gösterdiği gibi, bozuk diziler listesinde “Variston” da vardı.
Variston yetkilileri, bu gönderi için yorum isteyen bir e-postaya yanıt vermedi.
Çerçeveler, Google, Microsoft ve Firefox’un 2021 ve 2022’de düzelttiği güvenlik açıklarından yararlandı. Heliconia Noise, hem Chrome işleyici için bir açıktan yararlanmanın yanı sıra, güvenilmeyen kodu korumalı bir ortamda tutmak için tasarlanmış Chrome güvenlik sanal alanından kaçmak için bir açıktan yararlanma içeriyordu. bir işletim sisteminin hassas bölümlerine erişemeyen ortam. Güvenlik açıkları dahili olarak keşfedildiğinden, herhangi bir CVE tanımlaması yoktur.
Heliconia Noise, müşteri tarafından açıklardan yararlanılacak maksimum sayı, son kullanma tarihi ve bir ziyaretçinin ne zaman geçerli bir hedef olarak kabul edilmesi gerektiğini belirleyen kurallar gibi şeyleri ayarlamak üzere yapılandırılabilir.
Heliconia Soft, Microsoft Defender Kötü Amaçlı Yazılımdan Koruma’nın JavaScript motorunda Kasım 2021’de düzeltilen bir hata olan CVE-2021-42298’den yararlanan bubi tuzaklı bir PDF dosyası içeriyordu. Belgeyi birisine göndermek, Windows’ta imrenilen sistem ayrıcalıklarını kazanmak için yeterliydi çünkü Windows Defender, gelen dosyaları otomatik olarak taradı.
Dosyalar çerçevesi, Windows ve Linux üzerinde çalışan Firefox için tamamen belgelenmiş bir istismar zinciri içeriyordu. Firefox’un geçen Mart ayında düzelttiği bir ücretsiz kullanım sonrası güvenlik açığı olan CVE-2022-26485’ten yararlanır. Araştırmacılar, Files’ın kod yürütme güvenlik açığından muhtemelen en az 2019’dan beri, kamuya açıklanmadan veya yamalanmadan çok önce yararlandığını söyledi. Firefox’un 64 ila 68 sürümlerine karşı çalıştı. Dosyaların güvendiği korumalı alan kaçışı 2019’da düzeltildi.
Araştırmacılar, giderek kontrolden çıkan bir istismar pazarının resmini çizdiler. Yazdılar:
TAG’ın araştırması, ticari gözetlemenin yaygınlaştığını ve ticari casus yazılım satıcılarının daha önce yalnızca bol cepli ve teknik uzmanlığa sahip hükümetlerin kullanabileceği yetenekler geliştirdiğini gösterdi. Casus yazılım endüstrisinin büyümesi, kullanıcıları riske atıyor ve İnternet’i daha az güvenli hale getiriyor ve gözetim teknolojisi ulusal veya uluslararası yasalar kapsamında yasal olsa da, genellikle bir dizi gruba karşı dijital casusluk yapmak için zararlı şekillerde kullanılıyor. Bu suistimaller, çevrimiçi güvenlik için ciddi bir risk oluşturuyor; bu nedenle Google ve TAG, ticari casus yazılım endüstrisine karşı harekete geçmeye ve bu sektör hakkında araştırma yayınlamaya devam edecek.
Variston, NSO Group, Hacking Team, Accuvant ve Candiru dahil olmak üzere diğer istismar satıcılarının saflarına katılıyor.