信息來源:安全內(nèi)參
圖:GERALT/PIXABAY
-
近期,Lookout、谷歌先后發(fā)布報告,披露了使用6個漏洞利用(其中有2個0day)的意大利商業(yè)間諜軟件Hermit;
-
谷歌安全專家稱,小組在2021年發(fā)現(xiàn)九個零日漏洞,其中有七個由商業(yè)供應(yīng)商開發(fā),并出售給政府支持黑客以供其使用;
-
隨著商業(yè)間諜軟件供應(yīng)商的崛起,具備數(shù)字監(jiān)控能力的政府越來越多,這對互聯(lián)網(wǎng)用戶構(gòu)成了嚴(yán)重的信任威脅。
前情回顧
安全內(nèi)參消息,谷歌威脅分析小組(TAG)在上周四(6月23日)發(fā)布報告,披露一家意大利間諜軟件供應(yīng)商曾出售技術(shù)產(chǎn)品,被用于攻擊意大利及哈薩克斯坦的受害者。
這份報告印證了近期安全廠商Lookout發(fā)布的另一份報告。該報告中提到“Hermit”,一款由間諜軟件供應(yīng)商RCS Labs與電信公司Tykelab Srl共同開發(fā)的監(jiān)視軟件品牌。
谷歌在報告中分析了RCS Labs的間諜軟件“Hermit”,發(fā)現(xiàn)這家意大利供應(yīng)商“通過多種策略,包括較為罕見的路過式下載(drive-by download)作為初始感染載體,攻擊iOS及Android上的移動用戶?!?
谷歌威脅分析小組研究員Benoit Sevens與Clement Lecigne還談到了商業(yè)間諜軟件行業(yè)的整體情況,表示谷歌一直在追蹤供應(yīng)商活動,并正在“監(jiān)控并破壞這一蓬勃發(fā)展的行業(yè)?!?
“威脅分析小組在2021年共發(fā)現(xiàn)九個零日漏洞,其中有七個由商業(yè)供應(yīng)商開發(fā),并出售給政府支持黑客以供其使用。”他們說。
“威脅分析小組正在持續(xù)跟蹤30多家供應(yīng)商,這些廠商的復(fù)雜性不同、公開度各異,但都在向政府支持的黑客出售漏洞或監(jiān)視功能。我們的研究結(jié)果認(rèn)定,以往只有少數(shù)具備技術(shù)專長的政府才能開發(fā)并實施漏洞利用,但隨著商業(yè)監(jiān)控供應(yīng)商的崛起,具備這種能力的政府已經(jīng)越來越多。這不僅會降低互聯(lián)網(wǎng)安全性,同時也將威脅用戶所依賴的信任?!?
同時針對iOS與Android系統(tǒng)
與Lookout發(fā)布的報告一樣,谷歌發(fā)現(xiàn)RCS Labs的間諜軟件通常源自受害者接收到的一條鏈接。一旦點擊此鏈接,受害者就會被要求下載并安裝惡意軟件。
有證據(jù)表明受害者使用的既有Android設(shè)備,也有iOS設(shè)備。令人意外的是,谷歌認(rèn)為活動背后的黑客分子有時候還會與受害者所使用的電信運營商配合,“禁用掉攻擊目標(biāo)的移動數(shù)據(jù)連接。”研究人員表示,“一旦移動數(shù)據(jù)被禁用,攻擊者就能通過短信發(fā)出惡意鏈接,誘導(dǎo)目標(biāo)安裝特定應(yīng)用程序以恢復(fù)數(shù)據(jù)連接?!?
“我們認(rèn)為,這也解釋了為什么大部分惡意軟件會被偽裝成移動運營商的應(yīng)用程序。當(dāng)電信運營商無法介入時,惡意黑客就會將應(yīng)用程序偽裝成消息收發(fā)應(yīng)用?!?
圖:來自攻擊者所控制站點之一(WWW.FB-TECHSUPPORT[.]COM)的示例截圖。
谷歌表示,這些應(yīng)用程序并沒有上架App Store,而是使用了3-1 Mobile SRL公司的企業(yè)證書進(jìn)行簽名。該證書“滿足一切iOS設(shè)備上的全部iOS代碼簽名要求,因為該公司已經(jīng)注冊了蘋果企業(yè)開發(fā)者計劃?!?
據(jù)Sevens與Lecigne分析,該應(yīng)用共涉及6個CVE漏洞,分別為:CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907,CVE-2021-30883 和CVE-2021-30983。
研究人員們提到,“上述6個漏洞中,前4個漏洞為2021年之前披露,全部基于各個越獄社區(qū)編寫的公開漏洞利用。后2個為零日漏洞?!?
對于Android設(shè)備,該應(yīng)用會篡改圖標(biāo)將自己偽裝成合法的三星應(yīng)用程序。但谷歌證實,此應(yīng)用從未上架過Google Play應(yīng)用商店。
谷歌還提到,他們已經(jīng)更新了Google Play Protect服務(wù),并禁用了此次攻擊中被作為命令與控制服務(wù)器的相關(guān)Firebase項目,以保護用戶。對于所有受此次間諜軟件攻擊影響的Android設(shè)備受害者,谷歌還專門推送了警告。
商業(yè)間諜軟件正在蓬勃發(fā)展
報告指出,間諜軟件行業(yè)目前正在“蓬勃發(fā)展并保持著可觀的增長速度”,眾多政府因為自身無力開發(fā)此類功能而紛紛決定采購。
但這個行業(yè)的存在,本身也與政府“保護民主這一基本價值觀背道而馳,他們提供的工具往往被政府用于打擊政治異見者、記者、人權(quán)人士以及反對黨政客。”
Sevens與Lecigne還補充稱,RCS Labs這類間諜軟件供應(yīng)商還有可能在“秘密儲備零日漏洞”,并稱過去十年間已經(jīng)有眾多間諜軟件廠商受到攻擊。一旦發(fā)生這種情況,“他們儲備的零日漏洞完全可能在不知不覺中被其他黑客所掌握。”
兩位研究員最后總結(jié),“要想解決商業(yè)監(jiān)視行業(yè)的負(fù)面影響,必須建立一種強大、全面的方法,引導(dǎo)威脅情報團隊、網(wǎng)絡(luò)防御者、學(xué)術(shù)研究人員、政府和技術(shù)平臺間開展通力合作?!?
參考資料:therecord.media