Heliconia adlı istismar çerçevesi, Chrome hata raporlama programına yapılan bir dizi anonim gönderimden sonra Google’ın dikkatini çekti. Açıklamalar, Chrome, Windows Defender ve Firefox’ta Windows ve Linux bilgisayarlar da dahil olmak üzere hedef cihazlara casus yazılım dağıtmak için kötüye kullanılabilecek güvenlik açıklarına işaret ediyordu. Gönderim, Heliconia hack çerçevesinin kaynak kodunu içeriyordu ve güvenlik açıkları Heliconia Noise, Heliconia Soft ve Files olarak adlandırılıyordu. Google, kanıtların bilgisayar korsanlığı çerçevesinin geliştiricisi olarak Barselona merkezli teknoloji firması Variston IT’ye işaret ettiğini söylüyor.
TAG araştırmacıları, bilinmeyen, yama uygulanmamış güvenlik açıklarına atıfta bulunarak, “Bulgular, casus yazılım endüstrisinde birçok küçük oyuncumuz olduğunu, ancak sıfır günle ilgili güçlü yeteneklere sahip olduğumuzu gösteriyor” dedi.
Variston IT, WIRED’den gelen yorum talebine yanıt vermedi. Şirketin yöneticisi Ralf Wegner, TechCrunch’a Variston’a Google’ın araştırmasını inceleme fırsatı verilmediğini ve bunu doğrulayamayacağını söyledi. “Böyle bir öğe vahşi doğada bulunursa şaşıracağını” da sözlerine ekledi. Google, şirketin bu tür araştırmalardaki standart uygulamasında olduğu gibi, araştırmacıların yayından önce Variston IT ile iletişime geçmediğini doğruladı.
Google, Microsoft ve Mozilla, Heliconia güvenlik açıklarını 2021 ve 2022’de yamaladı ve Google, şu anda açıklardan herhangi bir şekilde yararlanıldığını tespit etmediğini söylüyor. Ancak hata bildirimlerindeki kanıtlar, çerçevenin büyük olasılıkla 2018 ve 2019’da, yamalar uygulanmadan çok önce kusurlardan yararlanmak için kullanıldığını gösteriyor. Heliconia Noise, bir Chrome oluşturucu güvenlik açığından ve bir sanal alan kaçışından yararlanırken, Heliconia Soft, Windows Defender açıklarından yararlanan kötü amaçlı bir PDF kullandı ve Files, Windows ve Linux için bir grup Firefox açıklarından yararlandı. TAG, Google’ın Project Zero hata avı grubu ve Chrome V8 güvenlik ekibinin üyeleriyle araştırma üzerinde işbirliği yaptı.
Google’ın mevcut istismar kanıtlarını görmemesi, Heliconia çerçevesinin artık atıl durumda olduğu anlamına gelebilir, ancak aynı zamanda bilgisayar korsanlığı aracının geliştiğini de gösterebilir. TAG araştırmacıları WIRED’e “Başka istismarlar olabilir, yeni bir çerçeve olabilir, istismarları sistemlerimizi geçmemiştir veya istismarlarını korumak için artık başka katmanlar vardır” dedi.
Nihayetinde grup, bu tür araştırmalarla amacının ticari casus yazılım endüstrisinin yöntemlerine, teknik yeteneklerine ve kötüye kullanımlarına ışık tutmak olduğunu söylüyor. TAG, Heliconia ile ilgili siteler ve dosyalar hakkında uyarı vermek için Google’ın Güvenli Tarama hizmeti için algılamalar oluşturdu ve araştırmacılar, yazılımı güncel tutmanın her zaman önemli olduğunu vurguluyor.
TAG, bulgular hakkında bir blog gönderisinde “Casus yazılım endüstrisinin büyümesi kullanıcıları riske atıyor ve interneti daha az güvenli hale getiriyor” diye yazdı. “Gözetleme teknolojisi ulusal veya uluslararası yasalar kapsamında yasal olsa da, genellikle çeşitli gruplara karşı dijital casusluk yapmak için zararlı şekillerde kullanılıyor.”