Nhóm phân tích mối đe dọa của Google (TAG) hôm thứ Năm đã chỉ tay vào một nhà phát triển phần mềm gián điệp ở Bắc Macedonian tên là Cytrox vì đã phát triển các biện pháp khai thác chống lại 5 lỗ hổng zero-day (hay còn gọi là 0 ngày), bốn lỗ hổng trong Chrome và một lỗ hổng trong Android, để nhắm mục tiêu người dùng Android.
Các nhà nghiên cứu của TAG: “Khai thác 0 ngày được sử dụng cùng với khai thác n ngày khi các nhà phát triển tận dụng khoảng thời gian chênh lệch giữa thời điểm một số lỗi nghiêm trọng được vá nhưng không bị gắn cờ là vấn đề bảo mật và khi các bản vá này được triển khai đầy đủ trên toàn hệ sinh thái Android” Clement Lecigne và Christian Resell cho biết.
Cytrox bị cáo buộc đã đóng gói các vụ khai thác và bán chúng cho các tổ chức khác nhau được chính phủ hậu thuẫn ở Ai Cập, Armenia, Hy Lạp, Madagascar, Côte d'Ivoire, Serbia, Tây Ban Nha và Indonesia, những người này đã vũ khí hóa các lỗi ít nhất ba chiến dịch khác nhau.
Công ty giám sát thương mại này là nhà sản xuất Predator, một thiết bị cấy ghép tương tự như Pegasus của NSO Group, và được biết là đã phát triển các công cụ cho phép khách hàng của mình thâm nhập vào các thiết bị iOS và Android.
Vào tháng 12 năm 2021, Meta Platforms (trước đây là Facebook) tiết lộ rằng họ đã hành động xóa khoảng 300 tài khoản trên Facebook và Instagram mà công ty sử dụng như một phần của các chiến dịch thỏa hiệp.
Dưới đây là danh sách năm lỗ hổng zero-day được khai thác trong Chrome và Android –
Theo TAG, tất cả ba chiến dịch được đề cập đều bắt đầu bằng một email lừa đảo trực tuyến chứa các liên kết một lần bắt chước các dịch vụ rút gọn URL, một khi được nhấp vào, đã chuyển hướng các mục tiêu đến một miền giả mạo đã loại bỏ các khai thác trước khi đưa nạn nhân đến một nơi hợp pháp Địa điểm.
“Các chiến dịch bị giới hạn – trong mỗi trường hợp, chúng tôi đánh giá số lượng mục tiêu là hàng chục người dùng”, Lecigne và Resell lưu ý. “Nếu liên kết không hoạt động, người dùng đã được chuyển hướng trực tiếp đến một trang web hợp pháp.”
Các nhà nghiên cứu đánh giá, mục tiêu cuối cùng của hoạt động này là phát tán phần mềm độc hại có tên Alien, hoạt động như một tiền thân để tải Predator lên các thiết bị Android bị nhiễm.
Phần mềm độc hại “đơn giản”, nhận lệnh từ Predator qua cơ chế giao tiếp giữa các quá trình (IPC), được thiết kế để ghi lại âm thanh, thêm chứng chỉ CA và ẩn ứng dụng để tránh bị phát hiện.
Chiến dịch đầu tiên trong ba chiến dịch diễn ra vào tháng 8 năm 2021. Nó sử dụng Google Chrome làm điểm khởi đầu trên thiết bị Samsung Galaxy S21 để buộc trình duyệt tải một URL khác trong trình duyệt Internet Samsung mà không yêu cầu người dùng tương tác bằng cách khai thác CVE-2021- 38000.
Một cuộc xâm nhập khác, xảy ra một tháng sau đó và được phân phối đến Samsung Galaxy S10 cập nhật, liên quan đến một chuỗi khai thác sử dụng CVE-2021-37973 và CVE-2021-37976 để thoát khỏi hộp cát Chrome (đừng nhầm lẫn với Quyền riêng tư Sandbox), tận dụng nó để giảm một lần khai thác thứ hai nhằm nâng cao đặc quyền và triển khai backdoor.
Chiến dịch thứ ba – khai thác Android 0 ngày đầy đủ – được phát hiện vào tháng 10 năm 2021 trên điện thoại Samsung cập nhật chạy phiên bản Chrome mới nhất. Nó đã kết hợp hai lỗ hổng, CVE-2021-38003 và CVE-2021-1048, để thoát khỏi hộp cát và xâm phạm hệ thống bằng cách tiêm mã độc vào các quy trình đặc quyền.
Google TAG đã chỉ ra rằng mặc dù CVE-2021-1048 đã được sửa trong nhân Linux vào tháng 9 năm 2020, nhưng nó đã không được hỗ trợ cho Android cho đến năm ngoái vì bản sửa lỗi không được đánh dấu là vấn đề bảo mật.
Các nhà nghiên cứu cho biết: “Những kẻ tấn công đang tích cực tìm kiếm và thu lợi từ những lỗ hổng được sửa chữa chậm chạp như vậy.
“Để giải quyết các hoạt động có hại của ngành giám sát thương mại sẽ đòi hỏi một cách tiếp cận toàn diện, mạnh mẽ bao gồm sự hợp tác giữa các nhóm tình báo về mối đe dọa, những người bảo vệ mạng, các nhà nghiên cứu hàn lâm và các nền tảng công nghệ.”
.
