信息來源:安全內(nèi)參
圖:GERALT/PIXABAY
-
近期,Lookout、谷歌先后發(fā)布報(bào)告,披露了使用6個(gè)漏洞利用(其中有2個(gè)0day)的意大利商業(yè)間諜軟件Hermit;
-
谷歌安全專家稱,小組在2021年發(fā)現(xiàn)九個(gè)零日漏洞,其中有七個(gè)由商業(yè)供應(yīng)商開發(fā),并出售給政府支持黑客以供其使用;
-
隨著商業(yè)間諜軟件供應(yīng)商的崛起,具備數(shù)字監(jiān)控能力的政府越來越多,這對(duì)互聯(lián)網(wǎng)用戶構(gòu)成了嚴(yán)重的信任威脅。
前情回顧
安全內(nèi)參消息,谷歌威脅分析小組(TAG)在上周四(6月23日)發(fā)布報(bào)告,披露一家意大利間諜軟件供應(yīng)商曾出售技術(shù)產(chǎn)品,被用于攻擊意大利及哈薩克斯坦的受害者。
這份報(bào)告印證了近期安全廠商Lookout發(fā)布的另一份報(bào)告。該報(bào)告中提到“Hermit”,一款由間諜軟件供應(yīng)商RCS Labs與電信公司Tykelab Srl共同開發(fā)的監(jiān)視軟件品牌。
谷歌在報(bào)告中分析了RCS Labs的間諜軟件“Hermit”,發(fā)現(xiàn)這家意大利供應(yīng)商“通過多種策略,包括較為罕見的路過式下載(drive-by download)作為初始感染載體,攻擊iOS及Android上的移動(dòng)用戶?!?
谷歌威脅分析小組研究員Benoit Sevens與Clement Lecigne還談到了商業(yè)間諜軟件行業(yè)的整體情況,表示谷歌一直在追蹤供應(yīng)商活動(dòng),并正在“監(jiān)控并破壞這一蓬勃發(fā)展的行業(yè)?!?
“威脅分析小組在2021年共發(fā)現(xiàn)九個(gè)零日漏洞,其中有七個(gè)由商業(yè)供應(yīng)商開發(fā),并出售給政府支持黑客以供其使用?!彼麄冋f。
“威脅分析小組正在持續(xù)跟蹤30多家供應(yīng)商,這些廠商的復(fù)雜性不同、公開度各異,但都在向政府支持的黑客出售漏洞或監(jiān)視功能。我們的研究結(jié)果認(rèn)定,以往只有少數(shù)具備技術(shù)專長(zhǎng)的政府才能開發(fā)并實(shí)施漏洞利用,但隨著商業(yè)監(jiān)控供應(yīng)商的崛起,具備這種能力的政府已經(jīng)越來越多。這不僅會(huì)降低互聯(lián)網(wǎng)安全性,同時(shí)也將威脅用戶所依賴的信任?!?
同時(shí)針對(duì)iOS與Android系統(tǒng)
與Lookout發(fā)布的報(bào)告一樣,谷歌發(fā)現(xiàn)RCS Labs的間諜軟件通常源自受害者接收到的一條鏈接。一旦點(diǎn)擊此鏈接,受害者就會(huì)被要求下載并安裝惡意軟件。
有證據(jù)表明受害者使用的既有Android設(shè)備,也有iOS設(shè)備。令人意外的是,谷歌認(rèn)為活動(dòng)背后的黑客分子有時(shí)候還會(huì)與受害者所使用的電信運(yùn)營商配合,“禁用掉攻擊目標(biāo)的移動(dòng)數(shù)據(jù)連接?!毖芯咳藛T表示,“一旦移動(dòng)數(shù)據(jù)被禁用,攻擊者就能通過短信發(fā)出惡意鏈接,誘導(dǎo)目標(biāo)安裝特定應(yīng)用程序以恢復(fù)數(shù)據(jù)連接?!?
“我們認(rèn)為,這也解釋了為什么大部分惡意軟件會(huì)被偽裝成移動(dòng)運(yùn)營商的應(yīng)用程序。當(dāng)電信運(yùn)營商無法介入時(shí),惡意黑客就會(huì)將應(yīng)用程序偽裝成消息收發(fā)應(yīng)用?!?
圖:來自攻擊者所控制站點(diǎn)之一(WWW.FB-TECHSUPPORT[.]COM)的示例截圖。
谷歌表示,這些應(yīng)用程序并沒有上架App Store,而是使用了3-1 Mobile SRL公司的企業(yè)證書進(jìn)行簽名。該證書“滿足一切iOS設(shè)備上的全部iOS代碼簽名要求,因?yàn)樵摴疽呀?jīng)注冊(cè)了蘋果企業(yè)開發(fā)者計(jì)劃?!?
據(jù)Sevens與Lecigne分析,該應(yīng)用共涉及6個(gè)CVE漏洞,分別為:CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907,CVE-2021-30883 和CVE-2021-30983。
研究人員們提到,“上述6個(gè)漏洞中,前4個(gè)漏洞為2021年之前披露,全部基于各個(gè)越獄社區(qū)編寫的公開漏洞利用。后2個(gè)為零日漏洞?!?
對(duì)于Android設(shè)備,該應(yīng)用會(huì)篡改圖標(biāo)將自己偽裝成合法的三星應(yīng)用程序。但谷歌證實(shí),此應(yīng)用從未上架過Google Play應(yīng)用商店。
谷歌還提到,他們已經(jīng)更新了Google Play Protect服務(wù),并禁用了此次攻擊中被作為命令與控制服務(wù)器的相關(guān)Firebase項(xiàng)目,以保護(hù)用戶。對(duì)于所有受此次間諜軟件攻擊影響的Android設(shè)備受害者,谷歌還專門推送了警告。
商業(yè)間諜軟件正在蓬勃發(fā)展
報(bào)告指出,間諜軟件行業(yè)目前正在“蓬勃發(fā)展并保持著可觀的增長(zhǎng)速度”,眾多政府因?yàn)樽陨頍o力開發(fā)此類功能而紛紛決定采購。
但這個(gè)行業(yè)的存在,本身也與政府“保護(hù)民主這一基本價(jià)值觀背道而馳,他們提供的工具往往被政府用于打擊政治異見者、記者、人權(quán)人士以及反對(duì)黨政客?!?
Sevens與Lecigne還補(bǔ)充稱,RCS Labs這類間諜軟件供應(yīng)商還有可能在“秘密儲(chǔ)備零日漏洞”,并稱過去十年間已經(jīng)有眾多間諜軟件廠商受到攻擊。一旦發(fā)生這種情況,“他們儲(chǔ)備的零日漏洞完全可能在不知不覺中被其他黑客所掌握?!?
兩位研究員最后總結(jié),“要想解決商業(yè)監(jiān)視行業(yè)的負(fù)面影響,必須建立一種強(qiáng)大、全面的方法,引導(dǎo)威脅情報(bào)團(tuán)隊(duì)、網(wǎng)絡(luò)防御者、學(xué)術(shù)研究人員、政府和技術(shù)平臺(tái)間開展通力合作?!?
參考資料:therecord.media