過去只有財力與技術都雄厚的政府才有先進間諜軟體的開發能力,如今隨著商業監控市場日益蓬勃,許多商業間諜軟體商也開始擁有這種等級的開發能力。Google 研究人員 11 月 30 日表示,發現西班牙巴塞隆納資安公司 Variston IT 偷偷銷售利用 Chrome、Firefox 及 Windows Defender 漏洞的進階軟體框架,無疑是商業監控與漏洞攻擊工具市場日趨活絡的最佳證明。
Variston IT 以客製化資訊安全解決方案供應商自居,除扮演嵌入式 SCADA 工控系統與 IoT 技術整合商的角色外,產品與服務大都與安全有關,包括專有系統客製化安全更新修補、資料探勘工具、安全培訓,以及嵌入式元件安全協定開發等。
Google 威脅分析小組(Threat Analysis Group,TAG)11 月 30 日官方部落格發表報告,Variston IT 一直在銷售官網沒提到的產品,即為客戶在想監視的裝置偷偷安裝惡意軟體框架產品。漏洞攻擊框架利用 n 日漏洞(n-Day)發動攻擊,亦即漏洞更新修補程式發布 n 天後,針對尚未更新漏洞修補程式的系統發動攻擊。但有證據顯示,此框架也用來發動零日(0-Da)攻擊。
商業監控產業蓬勃發展、大幅擴張之際,許多政府透過商業間諜軟體掌握先進監控能力,以為監視記者、人權活動人士及政敵的有力利器。研究人員透過 Google Chrome 漏洞回報程式從匿名來源收到這些框架,並繼續分類這些框架,名為 Heliconia Noise、Heliconia Soft 和 Files,分別能在 Chrome、Windows Defender 和 Firefox 部署漏洞攻擊工具的成熟原始程式碼。
Variston IT 客戶可配置 Heliconia Noise 框架,以設定攻擊最大次數、過期日期,以及指定何時將訪客視為有效目標的攻擊規則。Heliconia Soft 框架含專門利用 CVE2021-42298 漏洞(Microsoft Defender 之 JavaScript 引擎漏洞,2021 年 11 月修補)的陷阱 PDF 檔案,只要將檔案發送給某人,便足以在 Windows 系統獲得夢寐以求的系統權限。Files 框架可能早在 2019 年就開始運用 CVE-2022-26485 漏洞,屬於「釋放後使用」(Use-After-Free)漏洞,於去年 3 月修補。
Variston IT 並加入其他漏洞工具賣家行列,如以色列資安公司 NSO Group、義大利米蘭資安公司 Hacking Team、美國網安公司 Accuvant 及以色列間諜軟體公司 Candiru。
(首圖來源:Google)
科技新報粉絲團
加入好友
訂閱免費電子報
