04 Апреля 2023 08:54 04 Апр 2023 08:54 |

Поделиться

Программы-взломщики для правительств отсталых стран методично атакуют смартфоны на iOS и Android

Цепочки эксплойтов вразвес

Эксперты группы анализа киберугроз Google (TAG) сообщили, что поставщики коммерческих шпионских программ стали активно эксплуатировать целую серию уязвимостей в устройствах на базе Android и iOS.

Сами уязвимости были устранены еще в 2022 г., однако между выпуском патчей и реальной установкой их на конечные устройства обыкновенно проходит какое-то время, чем и пользуются и разработчики шпионских программ и их непосредственные пользователи.

В публикации TAG указывается, что речь идет об «опасных хакерских инструментах, которыми вооружают правительства, не обладающие самостоятельным потенциалом для разработки подобных средств».

«В то время как использование средств слежения может быть законным в соответствии с национальным и международным правом, чаще всего власти применяют их для атак на диссидентов, журналистов, правозащитников и представителей оппозиционных партий», — отметил сотрудник TAG Клеман Лесинь (Clement Lecigne).

Кампания I

Первая из двух известных операций состоялась в ноябре 2022 г. Она была узконаправленной; первичным вектором заражения были SMS-сообщения, отправленные пользователям в Италии, Малайзии и Казахстане. В этих сообщениях содержались сокращенные ссылки, перенаправлявшие пользователя на вредоносную страницу с эксплойтами для уязвимостей в Android и iOS, затем пользователя снова перебрасывали на легитимные новостные сайты или на ресурсы для отслеживания почтовых отправлений.

Цепочка эксплойтов для iOS включала вредоносы к уязвимостям CVE-2022-42856 (на тот момент она была еще неизвестна Apple), CVE-2021-30900 и уязвимость обхода криптографической подписи PAC (pointer authentication code). Через эти уязвимости устанавливался архивный файл .IPA, содержавший шпионские вредоносы.

Цепочка эксплойтов к Android включала три уязвимости CVE-2022-3723, CVE-2022-38181 и CVE-2022-4135 — уязвимость нулевого дня на момент эксплуатации.

CVE-2022-38181 — уязвимость, позволяющая повышать привилегии в драйверах ядра GPU Mali, была исправлена компанией Arm в августе 2022 г. Был ли в распоряжении злоумышленников эксплойт к ней до выпуска обновлений, неизвестно.

Любопытно, что пользователи Android, пытавшиеся открыть предлагаемую ссылку в браузере Samsung Internet Browser, принудительно перебрасывались в Chrome.

Кампания II

Вторая кампания, которую эксперты наблюдали в декабре 2022 г., использовала несколько свежих на тот момент уязвимостей в Samsung Internet Browser, в том числе еще не устраненных на тот момент: CVE-2022-4262, CVE-2022-3038, CVE-2022-22706, CVE-2023-0266 и CVE-2023-26083.

Александр Бабкин, Газпромбанк: Сейчас иностранные ИБ-решения в Газпромбанке замещены на 65%

безопасность

Эксплойты доставлялись в виде одноразовых ссылок в SMS-сообщениях. Получателями стали несколько устройств в ОАЭ. Их перебрасывали на некую веб-страницу, сильно напоминавшую ресурс, использовавшийся испанским поставщиком шпионских программ Variston IT. Эксперты полагают, что цепочку эксплойтов поставляла либо сама эта компания, либо кто-то из ее партнеров.

В декабре 2022 г. эта же кампания была описана в публикации Amnesty International. Там указывалось, что атаки начались не позднее 2020 г., что направлены они были не только на устройства под Android, но и десктопы, и что инфраструктура кампании насчитывала не менее 1000 вредоносных доменов, в том числе имитировавших легитимные сайты различных СМИ.

Точной информации о размахе и целях кампании на данный момент нет.

Индустрия на подъеме

Лесинь отметил, что индустрия коммерческих шпионских программ продолжает буйно цвести, и что даже некрупные игроки имеют доступ к уязвимостям нулевого дня.

«Есть спрос, будет сохраняться и предложение, — отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Пока правительства и коммерческие компании готовы использовать такие шпионские программы в своих целях, коммерческие поставщики тоже никуда не денутся. Если запретить их работу в одном регионе, они перекочуют в другой. Коммерческое spyware всегда будет оставаться в серой зоне в плане легитимности, и можно лишь пытаться добиваться прозрачности деятельности его вендоров.

Между тем правительство США опубликовало указ, ограничивающий федеральные агентства в праве использовать коммерческие шпионские программы, которые составляют риск для национальной безопасности.

Роман Георгиев

Поделиться

Подписаться на новости Короткая ссылка