Ποιες χώρες σύμφωνα με την google προμηθεύτηκαν το λογισμικό κατασκοπείας Predator

Αυτό το ιστολόγιο αποτελεί συνέχεια της ανάρτησής μας του Ιουλίου 2021 σχετικά με τέσσερις ευπάθειες 0 ημερών που ανακαλύψαμε το 2021 και περιγράφει λεπτομερώς τις καμπάνιες που στοχεύουν χρήστες Android με πέντε διακριτές ευπάθειες 0 ημερών:

Αξιολογούμε με μεγάλη σιγουριά ότι αυτές οι εκμεταλλεύσεις συσκευάστηκαν από μια ενιαία εταιρεία εμπορικής επιτήρησης, τη Cytrox, και πωλήθηκαν σε διαφορετικούς υποστηριζόμενους από την κυβέρνηση φορείς που τα χρησιμοποίησαν τουλάχιστον στις τρεις καμπάνιες που αναφέρονται παρακάτω. Σύμφωνα με τα ευρήματα του CitizenLab, εκτιμούμε ότι πιθανώς υποστηριζόμενοι από την κυβέρνηση φορείς που αγοράζουν αυτά τα exploits δραστηριοποιούνται (τουλάχιστον) στην Αίγυπτο, την Αρμενία, την Ελλάδα, τη Μαδαγασκάρη, την Ακτή Ελεφαντοστού, τη Σερβία, την Ισπανία και την Ινδονησία.

Οι εκμεταλλεύσεις 0 ημερών χρησιμοποιήθηκαν παράλληλα με τις εκμεταλλεύσεις n ημέρας, καθώς οι προγραμματιστές εκμεταλλεύτηκαν τη διαφορά ώρας μεταξύ της επιδιόρθωσης ορισμένων κρίσιμων σφαλμάτων αλλά δεν επισημάνθηκαν ως ζητήματα ασφαλείας και της πλήρους ανάπτυξης αυτών των ενημερώσεων κώδικα σε όλο το οικοσύστημα Android. Τα ευρήματά μας υπογραμμίζουν τον βαθμό στον οποίο οι πωλητές εμπορικής επιτήρησης έχουν πολλαπλασιάσει τις δυνατότητες που χρησιμοποιούνται ιστορικά μόνο από κυβερνήσεις με την τεχνική τεχνογνωσία για την ανάπτυξη και τη λειτουργικότητα των εκμεταλλεύσεων.

Επτά από τις εννέα TAG 0 ημερών που ανακαλύφθηκαν το 2021 εμπίπτουν σε αυτήν την κατηγορία: αναπτύχθηκαν από εμπορικούς παρόχους και πωλήθηκαν και χρησιμοποιούνται από φορείς που υποστηρίζονται από την κυβέρνηση. Η TAG παρακολουθεί ενεργά περισσότερους από 30 προμηθευτές με διαφορετικά επίπεδα πολυπλοκότητας και δημόσιας έκθεσης που πωλούν εκμεταλλεύσεις ή δυνατότητες επιτήρησης σε φορείς που υποστηρίζονται από την κυβέρνηση.

Και οι τρεις καμπάνιες παρείχαν εφάπαξ συνδέσμους που μιμούνται υπηρεσίες συντόμευσης διευθύνσεων URL στους στοχευμένους χρήστες Android μέσω email. Οι καμπάνιες ήταν περιορισμένες ? σε κάθε περίπτωση, εκτιμούμε ότι ο αριθμός των στόχων ήταν σε δεκάδες χρήστες. Μόλις γίνει κλικ, ο σύνδεσμος ανακατεύθυνε τον στόχο σε έναν τομέα που ανήκει στον εισβολέα που παρείχε τα exploit πριν ανακατευθύνει το πρόγραμμα περιήγησης σε έναν νόμιμο ιστότοπο. Εάν ο σύνδεσμος δεν ήταν ενεργός, ο χρήστης ανακατευθυνόταν απευθείας σε έναν νόμιμο ιστότοπο. Έχουμε δει αυτή την τεχνική να χρησιμοποιείται εναντίον δημοσιογράφων και άλλων αγνώστων στόχων και ειδοποιήσαμε αυτούς τους χρήστες όταν ήταν δυνατόν.

Εκτιμούμε ότι αυτές οι καμπάνιες παρέδωσαν το ALIEN, ένα απλό κακόβουλο λογισμικό Android που είναι υπεύθυνο για τη φόρτωση του PREDATOR, ένα εμφύτευμα Android που περιγράφηκε από το CitizenLab τον Δεκέμβριο του 2021. Το ALIEN ζει σε πολλαπλές προνομιακές διεργασίες και λαμβάνει εντολές από το PREDATOR μέσω IPC. Αυτές οι εντολές περιλαμβάνουν την εγγραφή ήχου, την προσθήκη πιστοποιητικών CA και την απόκρυψη εφαρμογών.

Η πρώτη καμπάνια, που εντοπίστηκε τον Αύγουστο του 2021, χρησιμοποίησε το Chrome σε ένα Samsung Galaxy S21 και ο διακομιστής ιστού απάντησε αμέσως με μια ανακατεύθυνση HTTP (302) που δείχνει την ακόλουθη διεύθυνση URL πρόθεσης. Αυτή η διεύθυνση URL έκανε κατάχρηση ενός λογικού ελαττώματος και ανάγκασε το Chrome να φορτώσει μια άλλη διεύθυνση URL στο πρόγραμμα περιήγησης Samsung χωρίς αλληλεπίδραση ή προειδοποιήσεις από τον χρήστη.

Δεν καταγράψαμε τα επόμενα στάδια, αλλά εκτιμήσαμε ότι οι εισβολείς δεν είχαν εκμεταλλεύσεις για την τρέχουσα έκδοση του Chrome (91.0.4472) εκείνη τη στιγμή, αλλά αντ αυτού χρησιμοποιούσαν εκμεταλλεύσεις n-day που στόχευαν το πρόγραμμα περιήγησης Samsung, το οποίο εκτελούσε μια παλαιότερη και ευάλωτη έκδοση του Chromium.

Αξιολογούμε με μεγάλη βεβαιότητα ότι αυτή η ευπάθεια πωλήθηκε από έναν μεσίτη εκμετάλλευσης και πιθανότατα έγινε κατάχρηση από περισσότερους από έναν πωλητές επιτήρησης.

Περισσότερες τεχνικές λεπτομέρειες σχετικά με αυτήν την ευπάθεια είναι διαθέσιμες σε αυτό το RCA από την Maddie Stone .