Los investigadores de seguridad cibernética del Grupo de Análisis de Amenazas (TAG) de Google dicen que una empresa comercial española desarrolló una red de explotación (se abre en una pestaña nueva) para Windows, Chrome y Firefox, y probablemente la vendió a entidades gubernamentales en le passé.
Dans un article de blog publié plus tôt cette semaine, l'équipe TAG affirme qu'une société basée à Barcelone appelée Variston IT est probablement liée au framework Heliconia, qui exploite les vulnérabilités n-day dans Chrome, Firefox et Microsoft Defender (ouvre dans un nouvel onglet ). Cela indique également que l'entreprise a probablement fourni tous les outils nécessaires pour déployer une charge utile sur un point de terminaison cible (s'ouvre dans un nouvel onglet).
Aucune exploitation active
Toutes les entreprises concernées avaient des vulnérabilités corrigées qui avaient été exploitées via le framework Heliconia en 2021 et au début de 2022, et comme TAG n'a trouvé aucune vulnérabilité active, le framework a très probablement été utilisé les jours zéro. Cependant, pour se protéger pleinement contre Heliconia, TAG suggère à tous les utilisateurs de maintenir leur logiciel à jour.
Google a été alerté pour la première fois de l'existence d'Heliconia par le biais d'une soumission anonyme au programme de rapport de bogues de Chrome (s'ouvre dans un nouvel onglet). Celui qui a soumis la soumission a ajouté trois bogues, chacun avec des instructions et un fichier de code source. Ils s'appelaient "Heliconia Noise", "Heliconia Soft" et "Files". Une analyse ultérieure a montré qu'ils contenaient "des cadres pour implémenter des exploits dans la nature" et que le code source pointait vers Variston IT.
Heliconia Noise est décrit comme un cadre pour implémenter un exploit pour un bogue de rendu Chrome, suivi d'un échappement de bac à sable. Heliconia Soft, quant à lui, est un framework Web qui implémente un PDF contenant un exploit pour Windows Defender, tandis que Files est une collection d'exploits Firefox (s'ouvre dans un nouvel onglet) trouvés à la fois sur Windows et Linux. .
Étant donné que l'exploit Heliconia fonctionne sur les versions 64 à 68 de Firefox, il est probable qu'il était utilisé fin 2018, suggère Google.
S'adressant à TechCrunch, Variston CIO Ralf Wegner a déclaré que la société n'était pas au courant des recherches Google et ne pouvait pas valider les résultats, mais a ajouté qu'il serait "surpris si un tel élément devait être trouvé dans la nature".
Les logiciels espions commerciaux (ouvre dans un nouvel onglet) sont une industrie en croissance, déclare Google, ajoutant qu'il ne restera pas les bras croisés pendant que ces entités vendent des vulnérabilités aux gouvernements qui les utilisent ensuite pour attaquer des opposants, des politiciens, des journalistes, des militants des droits de l'homme et des dissidents.
L'exemple le plus célèbre est peut-être le groupe NSO basé en Israël et son logiciel espion Pegasus, qui a mis l'entreprise sur liste noire aux États-Unis.
Via : TechCrunch (Ouvre dans un nouvel onglet)