Los investigadores de seguridad cibernética del Grupo de Análisis de Amenazas (TAG) de Google dicen que una empresa comercial española desarrolló una red de explotación (se abre en una pestaña nueva) para Windows, Chrome y Firefox, y probablemente la vendió a entidades gubernamentales en el pasado.
En una publicación de blog publicada a principios de esta semana, el equipo de TAG afirma que una empresa con sede en Barcelona llamada Variston IT probablemente esté vinculada al marco Heliconia, que explota las vulnerabilidades de n-day en Chrome, Firefox y Microsoft Defender (se abre en una nueva pestaña ). También indica que la empresa probablemente proporcionó todas las herramientas necesarias para implementar una carga útil en un punto final de destino (se abre en una nueva pestaña).
Sin explotación activa
Todas las empresas afectadas habían corregido vulnerabilidades que habían sido explotadas a través del marco Heliconia en 2021 y principios de 2022, y dado que TAG no encontró vulnerabilidades activas, lo más probable es que el marco se haya utilizado en días cero. Sin embargo, para protegerse completamente contra Heliconia, TAG sugiere que todos los usuarios mantengan su software actualizado.
Google fue alertado por primera vez sobre la existencia de Heliconia a través de un envío anónimo al programa de informes de errores de Chrome (se abre en una nueva pestaña). Quien haya presentado el envío agregó tres errores, cada uno con instrucciones y un archivo con el código fuente. Fueron nombrados «Heliconia Noise», «Heliconia Soft» y «Files». Un análisis posterior mostró que contenían «marcos para implementar exploits en la naturaleza» y que el código fuente apuntaba a Variston IT.
Heliconia Noise se describe como un marco para implementar un exploit para un error de renderizado de Chrome, seguido de un escape de sandbox. Heliconia Soft, por otro lado, es un marco web que implementa un PDF que contiene un exploit para Windows Defender, mientras que Files es una colección de exploits de Firefox (se abre en una nueva pestaña) que se encuentra tanto en Windows como en Linux.
Dado que el exploit Heliconia funciona en las versiones 64-68 de Firefox, es probable que estuviera en uso a fines de 2018, sugiere Google.
Hablando con TechCrunch, el CIO de Variston, Ralf Wegner, dijo que la compañía no estaba al tanto de las búsquedas de Google y no podía validar los resultados, pero agregó que estaría «sorprendido si tal elemento se encontrara en la naturaleza».
El spyware comercial (opens in a new tab) es una industria en crecimiento, dice Google, y agrega que no se quedará de brazos cruzados mientras estas entidades venden vulnerabilidades a los gobiernos que luego las usan para atacar a los opositores, políticos, periodistas, activistas de derechos humanos y disidentes.
Quizás el ejemplo más famoso es NSO Group, con sede en Israel, y su software espía Pegasus, que incluyó a la empresa en la lista negra de los Estados Unidos.
Via : TechCrunch (Ouvre dans un nouvel onglet)
