Google’ın Tehdit Analizi Grubu’nun (TAG) bildirdiğine göre, popüler platformlara karşı sıfır gün ve N gün güvenlik açıklarından yararlanan bir casus yazılım satıcısı bulundu.
Rapora göre, keşfedilen istismar zincirlerinden birinden sorumlu aktörlerin İspanya’dan casus yazılım satıcısı Variston’ın müşterileri veya ortakları olması veya onlarla yakın bir çalışma ilişkisi olması mümkündür.
Rapor, Android, iOS, Windows ve macOS dahil olmak üzere casus yazılım satıcıları tarafından hedef alınan birkaç popüler platformu tanımlar.
Bu platformlar dünya çapında milyarlarca insan tarafından kullanılıyor ve bu da onları siber suçlular için çekici bir hedef haline getiriyor.
Rapora göre, casus yazılım satıcıları, hedeflenen sistemlere sızmak için önceden bilinmeyen yazılım güvenlik açıkları olan sıfır gün güvenlik açıklarını kullanıyor. Bu, tespit edilmekten kaçmalarına ve hain faaliyetlerini gerçekleştirmelerine olanak tanır.
Ek olarak, casus yazılım satıcıları, en son güvenlik yamalarıyla henüz güncellenmemiş sistemleri hedeflemek için önceden bilinen ancak yama uygulanmamış yazılım açıkları olan N-day güvenlik açıklarını da kullanıyor.
Raporda, “0 günlük açıklardan yararlanmalar, n günlük açıklardan yararlanmalarla birlikte kullanıldı ve düzeltme sürümü ile son kullanıcı cihazlarına tam olarak dağıtıldığı zaman arasındaki büyük zaman farkından yararlanıldı” dedi.
“Bulgularımız, ticari casus yazılım satıcılarının, tarihsel olarak yalnızca istismarları geliştirmek ve operasyonel hale getirmek için teknik uzmanlığa sahip hükümetler tarafından kullanılan yeteneklerin ne ölçüde çoğaldığının altını çiziyor.”
Casus yazılım satıcıları, kampanyalar ve İspanyol bağlantısı
TAG tarafından yürütülen analize göre, keşfedilen istismar zincirlerinden birinin arkasındaki kişilerin İspanyol casus yazılım satıcısı Variston’ın müşterileri veya ortakları olması veya onlarla yakın bir çalışma ilişkisi olması mümkündür.
TAG, Aralık 2022’de, Aralık 2022’de Samsung İnternet Tarayıcısının en son sürümünü hedefleyen eksiksiz bir açıklardan yararlanma zincirinin bulunduğu bir kampanya buldu.
Zincir birden çok sıfır gün ve n gün içeriyordu ve Birleşik Arap Emirlikleri’ndeki (BAE) cihazlara SMS yoluyla gönderilen tek seferlik bağlantılarla teslim edildi.
Raporda, “Bağlantı, kullanıcıları ticari casus yazılım satıcısı Variston tarafından geliştirilen Heliconia çerçevesinde incelenen bir TAG ile aynı olan bir açılış sayfasına yönlendirdi” denildi.
“BAE kullanıcılarını hedef almak için açıklardan yararlanma zincirini kullanan aktör, Variston’ın bir müşterisi veya ortağı olabilir veya casus yazılım satıcısıyla yakın bir şekilde çalışıyor olabilir.”
TAG, Kasım 2022’de bulunan başka bir kampanyada, Android ve iOS işletim sistemlerini etkileyen sıfır gün güvenlik açıklarına sahip açıklardan yararlanma zincirleri buldu.
Açıklardan yararlanma zincirleri, İtalya, Malezya ve Kazakistan’daki kullanıcılara SMS yoluyla gönderilen bit.ly bağlantıları aracılığıyla iletildi.
Bağlantılar tıklandığında, kullanıcıları Android veya iOS için açıklardan yararlanan sayfalara yönlendirdi ve ardından onları yasal web sitelerine yönlendirdi.
iOS açıklardan yararlanma zinciri, 15.1’den önceki sürümleri hedefledi ve bir 0 günlük dahil olmak üzere aşağıdaki açıklardan yararlanmaları içeriyordu: JIT derleyicisindeki bir tür karışıklığı sorunundan yararlanan bir WebKit uzaktan kod yürütmesi olan CVE-2022-42856.
Citizenlab tarafından Predator hakkındaki bloglarında açıklandığı şekliyle Cytrox istismarlarında tamamen aynı teknik kullanıldı. CVE-2021-30900, AGXAccelerator’da, Apple tarafından 15.1’de düzeltilen bir sanal alandan kaçış ve ayrıcalık yükseltme hatası.
İspanyol casus yazılım satıcısı Variston
İspanya merkezli casus yazılım satıcısı Variston, son zamanlarda yanlış nedenlerle siber güvenlik haberlerinde yer aldı.
Kasım 2022’de yayınlanan bir TAG raporunda “İspanya, Barselona’da bulunan ve özel güvenlik çözümleri sağlayıcısı olduğunu iddia eden bir şirket olan Variston IT” ifadesi yer aldı.
Heliconia çerçevesi, Chrome, Firefox ve Microsoft Defender’daki 1 günlük güvenlik açıklarından yararlanıyor ve bir hedef cihaza bir yük dağıtmak için gerekli tüm araçları sağlıyor.”
Raporda TAG, bir tehdit aktörünün Chrome, Firefox ve Microsoft Defender’daki n günlük güvenlik açıklarından yararlanmak için tasarlanmış casus yazılım sattığını ortaya çıkardı.
Raporlara göre, tehdit aktörü, meşru bir siber güvenlik çözümleri sağlayıcısı gibi görünürken kurbanların cihazlarına casus yazılımları uzaktan yüklemek için bir istismar çerçevesi olan Heliconia’yı kullandı.
Kampanya, Chrome hata raporlama programına gönderen anonim bir kullanıcı tarafından Google’ın dikkatine sunuldu.
Rapor, Google’ı casus yazılım satıcılarının faaliyetleri konusunda uyardı. Heliconia’nın istismar çerçevesi, onu sıradan casus yazılımlardan daha karmaşık hale getiren üç farklı istismar çerçevesi çalıştırabilir.