去年至少7個零日漏洞被商業化!間諜軟體行業正蓬勃發展

語言: CN / TW / HK

關注我們

帶你讀懂網路安全

圖:GERALT/PIXABAY

近期,Lookout、谷歌先後釋出報告,披露了使用6個漏洞利用(其中有2個0day)的義大利商業間諜軟體Hermit;

谷歌安全專家稱,小組在2021年發現九個零日漏洞,其中有七個由商業供應商開發,並出售給政府支援黑客以供其使用;

隨著商業間諜軟體供應商的崛起,具備數字監控能力的政府越來越多,這對網際網路使用者構成了嚴重的信任威脅。

安全內參訊息,谷歌威脅分析小組(TAG)在上週四(6月23日)釋出報告,披露一家義大利間諜軟體供應商曾出售技術產品,被用於攻擊義大利及哈薩克的受害者。

這份報告印證了近期安全廠商Lookout釋出的另一份報告。該報告中提到“Hermit”,一款由間諜軟體供應商RCS Labs與電信公司Tykelab Srl共同開發的監視軟體品牌。

谷歌在報告中分析了RCS Labs的間諜軟體“ Hermit ”,發現這家義大利供應商“通過多種策略,包括較為罕見的路過式下載(drive-by download)作為初始感染載體,攻擊iOS及Android上的移動使用者。”

谷歌威脅分析小組研究員Benoit Sevens與Clement Lecigne還談到了商業間諜軟體行業的整體情況,表示 谷歌一直在追蹤供應商活動,並正在“監控並破壞這一蓬勃發展的行業。”

“威脅分析小組在2021年共發現九個零日漏洞,其中有七個由商業供應商開發,並出售給政府支援黑客以供其使用。”他們說。

“威脅分析小組正在持續跟蹤30多家供應商,這些廠商的複雜性不同、公開度各異,但都在向政府支援的黑客出售漏洞或監視功能。我們的研究結果認定, 以往只有少數具備技術專長的政府才能開發並實施漏洞利用,但隨著商業監控供應商的崛起,具備這種能力的政府已經越來越多。這不僅會降低網際網路安全性,同時也將威脅使用者所依賴的信任 。”

同時針對iOS與Android系統

與Lookout釋出的報告一樣,谷歌發現RCS Labs的間諜軟體通常源自受害者接收到的一條連結。一旦點選此連結,受害者就會被要求下載並安裝惡意軟體。

有證據表明受害者使用的既有Android裝置,也有iOS裝置。令人意外的是,谷歌認為 活動背後的黑客分子有時候還會與受害者所使用的電信運營商配合,“禁用掉攻擊目標的移動資料連線 。”研究人員表示,“一旦移動資料被禁用,攻擊者就能通過簡訊發出惡意連結,誘導目標安裝特定應用程式以恢復資料連線。”

“我們認為,這也解釋了為什麼大部分惡意軟體會被偽裝成移動運營商的應用程式。當電信運營商無法介入時,惡意黑客就會將應用程式偽裝成訊息收發應用。”

圖:來自攻擊者所控制站點之一(WWW.FB-TECHSUPPORT[.]COM)的示例截圖。

谷歌表示,這些應用程式並沒有上架App Store,而是使用了3-1 Mobile SRL公司的企業證書進行簽名。該證書“滿足一切iOS裝置上的全部iOS程式碼簽名要求,因為該公司已經註冊了蘋果企業開發者計劃。”

據Sevens與Lecigne分析,該應用共涉及6個CVE漏洞,分別為:CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907, CVE-2021-30883CVE-2021-30983

研究人員們提到,“上述6個漏洞中,前4個漏洞為2021年之前披露,全部基於各個越獄社群編寫的公開漏洞利用。 後2個為零日漏洞 。”

對於Android裝置,該應用會篡改圖示將自己偽裝成合法的三星應用程式。但谷歌證實,此應用從未上架過Google Play應用商店。

谷歌還提到,他們已經更新了Google Play Protect服務,並禁用了此次攻擊中被作為命令與控制伺服器的相關Firebase專案,以保護使用者。對於所有受此次間諜軟體攻擊影響的Android裝置受害者,谷歌還專門推送了警告。

商業間諜軟體正在蓬勃發展

報告指出, 間諜軟體行業目前正在“蓬勃發展並保持著可觀的增長速度”,眾多政府因為自身無力開發此類功能而紛紛決定採購

但這個行業的存在,本身也與政府“保護民主這一基本價值觀背道而馳,他們提供的工具往往被政府用於打擊政治異見者、記者、人權人士以及反對黨政客。”

Sevens與Lecigne還補充稱,RCS Labs這類間諜軟體供應商還有可能在“祕密儲備零日漏洞”,並稱過去十年間已經有眾多間諜軟體廠商受到攻擊。一旦發生這種情況,“他們儲備的零日漏洞完全可能在不知不覺中被其他黑客所掌握。”

兩位研究員最後總結,“要想解決商業監視行業的負面影響,必須建立一種強大、全面的方法,引導威脅情報團隊、網路防禦者、學術研究人員、政府和技術平臺間開展通力合作。”

參考資料:therecord.media.com

點選下方卡片關注我們,

帶你一起讀懂網路安全 ↓