Продолжаем следить за тектоническими изменениями на рынке комм | SecAtor

Продолжаем следить за тектоническими изменениями на рынке коммерческого шпионского ПО.

На днях, как сообщают наши коллеги, президент США подписал указ, направленный на ограничение использования spyware. И речь вовсе не идет о локальной истории.

Стоит отметить, что регулирование в силу экстерриторальной юрисдикций американских законов будут распространяться фактически на всех участников отрасли.

Что собственно, Белый дом официально подтвердил, заявив о том, что указ послужит основой для международного сотрудничества в рамках стимулирования реформы отрасли.

Дабы поддержать дедулю и общую продвигаемую западным разведсообществом стратегию, исследователи Google TAG выкатили очередной отчет по spyware, связав львиную долю 0-day за 2022 год для iOS и Android с поставщиками шпионского ПО, замеченными в двух разных целенаправленных кампаниях.

В одной из двух кампаний атака началась с отправки ссылки целевому пользователю через SMS. При переходе по ссылке жертва попадала на вредоносные веб-сайты с эксплойтами для Android или iOS.

Цепочка эксплойтов iOS включала CVE-2022-42856, уязвимость WebKit, которую Apple исправила в iPhone в декабре 2022 года. Атаки также включали метод обхода проверки подлинности указателя (PAC) и эксплойт для CVE-2021-30900 (уязвимость выхода из песочницы и повышения привилегий), которую Apple исправила в iOS в 2021 году. 

Цепочка эксплойтов Android была нацелена на CVE-2022-3723 — 0-day для Chrome, исправленную Google в октябре 2022 года, а также на CVE-2022-4135, которую Google исправила в ноябре 2022 года (обход песочницы Chrome GPU, который влияет только на устройства Android).

Цепочка Android также включала использование CVE-2022-38181, уязвимости графического процессора Arm Mali, приводящей к произвольному выполнению кода ядра. Патч был выпущен Arm в августе 2022 года, но на устройства Pixel он был выпущен только в январе 2023 года.

Однако несколько поставщиков, включая Pixel, Samsung, Xiaomi, Oppo и другие, не включили исправление, в результате чего злоумышленники могли свободно использовать ошибку в течение нескольких месяцев.

Кампания была нацелена на пользователей в Италии, Малайзии и Казахстане с помощью ПО от RCS Lab и Cytrox.

Во второй кампании, обнаруженной в декабре 2022 года, злоумышленники нацелились на на браузер Samsung, объединив различные 0 и n-day. Эксплойты также доставлялись в виде ссылок через SMS.

Атаки были нацелены на пользователей в ОАЭ с целью доставки шпионского ПО для Android. Google считает, что атака была осуществлена испанской Variston.

Список эксплойтов включал CVE-2022-4262 (0-day в Chrome), исправленную Google в декабре 2022 года, и CVE-2022-3038 (побег из песочницы Chrome).

Кампания также нацелена на CVE-2022-22706 (проблема в драйвере ядра Mali), исправленную Arm в январе 2022 года, и CVE-2023-0266 (уязвимость звуковой подсистемы ядра Linux). Обе эти уязвимости активно эксплуатировались на устройствах Android до того, как были выпущены исправления.

За раскрытие подробностей атак респект, но что-то никак в отчетах не видим ничего про американских поставщиков spyware.