27 Мая 2022 08:51 27 Мая 2022 08:51 |

Поделиться

Государственные хакеры набросились на Android и Chrome из-за незакрытых «дыр» нулевого дня

Хищнический промысел

Эксперты Google Threat Analysis Group сообщили, что некие хакеры, работающие в интересах неназванного государства, использовали минимум пять уязвимостей нулевого дня в браузере Chrome и операционной системе Android для распространения шпионского ПО. Подразумевается коммерческая разработка — программа Predator, созданная фирмой Cytrox.

В августе-октябре 2021 г. злоумышленники запустили три разные кибершпионские кампании. С помощью уязвимостей, о которых Google на тот момент не было ничего известно, операторы кампаний устанавливали импланты Predator на полностью обновленные устройства под управлением Android OS.

В ходе атак использовались четыре уязвимости в Chrome (CVE-2021-37973, CVE-2021-37976, CVE-2021-38000 и CVE-2021-38003) и одна непосредственно в Android (CVE-2021-1048).

Уязвимости в Chrome включали ошибки, связанные с некорректным использованием памяти, утечкой информации и другими проблемами. Баг в Android также связан с использованием уже высвобожденной области памяти.

Комбинации багов

В ходе трех выявленных киберкампаний использовались разные комбинации уязвимостей. В частности, операторы первой кампании использовали уязвимость в Google Chrome CVE-2021-38000 для того, чтобы заставить этот браузер открывать другой — Samsung Browser. По-видимому, у злоумышленников были наготове эксплойты для этого браузера, который, в свою очередь, задействует более старую (и уязвимую) версию платформы Chromium.

Специалисты Google обнаружили, что сразу три шпионских кампании одновременно использовали уязвимости нулевого дня в Chrome и Android

В рамках второй кампании использовались две уязвимости (CVE-2021-37973, CVE-2021-37976), позволявшие выйти за пределы безопасной среды («песочницы») Chrome и дальше осуществлять разные вредоносные действия.

Третья кампания использовала уязвимости в Chrome и Android (CVE-2021-38003, CVE-2021-1048) для получения контроля над устройством под Android.

Во всех случаях атаки начинались с посланий в электронной почте, содержавших вредоносные ссылки. Эти ссылки перенаправляли жертву на вредоносный домен, откуда закачивались эксплойты, а затем — на легитимный ресурс, запрошенный пользователем. Если вредоносный домен по какой-то причине не функционировал, жертва сразу попадала на безопасный ресурс.

Атаки носили узконаправленный характер: количество жертв во всех случаях не превышало нескольких десятков человек.

В декабре 2021 г. компания Citizen Lab опубликовала свое собственное исследование шпионского ПО CytroxPredator, обнаруженного на смартфоне египетского политика Аймана Нура (Ayman Nour). В тот раз речь шла, впрочем, о версии Predator под iOS.

Кроме него, у Нура обнаружился еще и печально знаменитый шпионский модуль NSO Group Pegasus, то есть он стал жертвой сразу двух разных атак.

В исследовании Citizen Labs указывается, что Cytrox — компания, происходящая, по-видимому, из Северной Македонии с представительствами в Венгрии и Израиле. В 2018 г. Cytrox, вероятно, был перекуплен бизнес-структурами, тесно связанными с Вооруженными силами Израиля. Эти компании также занимаются разработками различных средств слежения через коммуникационные сети.

В Google TAG считают, что Cytrox продавал свою разработку всем желающим, так что за различными кампаниями стояли разные группы хакеров. Жертвами атак стали пользователи в Египте, Армении, Греции, Кот Д'Ивуаре, Сербии, Испании, Индонезии и на Мадагаскаре.

«Cytrox — лишь одна из структур, предлагающих шпионские инструменты тем, кто больше заплатит, а недостатка в желающих и имеющих возможность заплатить в сегодняшнем мире нет, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Сейчас в Европе и США пытаются законодательно ограничить или вовсе запретить использование программных средств, подобных Pegasus, но практическая реализуемость такого запрета вызывает сомнения. Высокое качество программного кода — единственный надежный способ застраховаться от эксплуатации уязвимостей: нет багов — нет проблем».

Роман Георгиев

Поделиться

Подписаться на новости Короткая ссылка