В ноябре 2022 года Google сообщил о существовании тогда еще неизвестного поставщика шпионского ПО под названием Variston. Исследователи Google говорят, что видели, как хакеры использовали инструменты Variston в Объединенных Арабских Эмиратах.
В отчете, опубликованном в среду, группа анализа угроз Google (TAG) сообщила, что обнаружила хакеров, нацеленных на людей в ОАЭ, которые использовали собственный браузер Android от Samsung, который представляет собой настроенную версию Chromium. Хакеры использовали набор уязвимостей, объединенных в цепочку и доставленных через одноразовые веб-ссылки, отправленные целям в виде текстового сообщения. Согласно новому сообщению в блоге TAG, две из четырех уязвимостей в цепочке на момент атаки относились к нулевым дням, то есть о них не сообщалось производителю программного обеспечения и на тот момент они были неизвестны.
Если цель щелкнет по вредоносным веб-ссылкам, она будет перенаправлена на целевую страницу, «идентичную той TAG, которая была исследована в среде Heliconia, разработанной коммерческим поставщиком шпионского ПО Variston». (В обеих кампаниях использовалась одна и та же уникальная целевая страница, сообщил Google TechCrunch. Согласно сообщению, после использования жертва была заражена «полнофункциональным набором шпионских программ для Android», предназначенным для сбора данных из чата и приложений браузера.
«Актер, использующий цепочку эксплойтов для нацеливания на пользователей ОАЭ, может быть клиентом или партнером Variston или иным образом тесно сотрудничать с поставщиком шпионского ПО», — говорится в сообщении в блоге.
Неясно, кто стоит за хакерской кампанией или кто является жертвами. Представитель Google сообщил TechCrunch, что TAG обнаружил около 10 вредоносных веб-ссылок. По словам Google, некоторые из ссылок перенаправлялись на StackOverflow после эксплуатации и могли быть тестовыми устройствами злоумышленника. TAG заявила, что неясно, кто стоит за хакерской кампанией.
Samsung не ответила на запрос о комментариях.
Ральф Вегенер и Раманан Джаяраман являются основателями Variston, согласно Intelligence Online, онлайн-изданию новостей, освещающему индустрию видеонаблюдения. Ни один из основателей не ответил на запрос о комментариях. Штаб-квартира Variston находится в Барселоне, Испания. Согласно записям о регистрации бизнеса в Италии, Variston приобрела итальянскую исследовательскую компанию «нулевого дня» Truel в 2018 году.
Google также заявил в среду, что обнаружил хакеров, использующих ошибку нулевого дня iOS, исправленную в ноябре, для удаленного внедрения шпионского ПО на устройства пользователей. Исследователи говорят, что они наблюдали, как злоумышленники злоупотребляют уязвимостью в системе безопасности в рамках цепочки эксплойтов, нацеленной на владельцев iPhone с iOS 15.1 и старше, находящихся в Италии, Малайзии и Казахстане.
Уязвимость была обнаружена в движке браузера WebKit, на котором работает Safari и другие приложения. Впервые о ней сообщили исследователи Google TAG. Apple исправила ошибку в декабре, подтвердив, что в то время компания знала об активном использовании уязвимости «в версиях iOS, выпущенных до iOS 15.1».
Хакеры также использовали вторую уязвимость iOS, описанную как метод обхода PAC, который был устранен Apple в марте 2022 года, что, по словам исследователей Google, является точной техникой, используемой северомакедонским разработчиком шпионского ПО Cytrox для установки своего шпионского ПО Predator. Ранее Citizen Lab опубликовала отчет, в котором подчеркивается широкое использование правительством шпионского ПО Predator.
Google также заметил, что хакеры использовали цепочку из трех ошибок Android, нацеленных на устройства с графическим чипом на базе ARM, включая одну ошибку нулевого дня. Google заявил, что ARM выпустила исправление, но несколько поставщиков, включая Samsung, Xiaomi, Oppo и сам Google, не включили исправление, что привело к «ситуации, когда злоумышленники могли свободно использовать ошибку в течение нескольких месяцев», — сказал Google.
По словам Google, обнаружение этих новых хакерских кампаний является «напоминанием о том, что индустрия коммерческого шпионского ПО продолжает процветать. «Даже небольшие поставщики средств видеонаблюдения имеют доступ к нулевым дням, а поставщики, накапливающие и тайно использующие 0-дневные уязвимости, представляют серьезный риск для Интернета».
«Эти кампании могут также указывать на то, что поставщики систем видеонаблюдения обмениваются эксплойтами и методами, что способствует распространению опасных хакерских инструментов», — говорится в блоге.