Die Threat Analysis Group von Google hat die Entdeckung eines Exploit-Frameworks bekannt gegeben, das jetzt gepatchte Schwachstellen zur Verbreitung von Spyware nutzte. Die spanische IT-Firma Variston wurde mit dem Exploit in Verbindung gebracht.
Ein spanisches IT-Unternehmen hat möglicherweise eine Windows-Schwachstelle ausgenutzt
Am 30. November 2022 gab Googles Threat Analysis Group (TAG) in a bekannt Google-Blogbeitrag dass ein Verwertungs-Framework namens „Heliconia“ Verbindungen zur spanischen IT-Firma Variston haben könnte. Das Framework nutzte jetzt gepatchte Schwachstellen in Chrome, Firefox und Microsoft Defender aus, um es bereitzustellen gefährliche Spyware.
Variston, der mutmaßliche Anbieter von Sicherheitslösungen, hat seinen Sitz in Barcelona und hat möglicherweise N-Day-Schwachstellen ausgenutzt, um Spyware zu verbreiten. N-Day-Schwachstellen beziehen sich auf ausgenutzte Sicherheitslücken, die gepatcht wurden. Die TAG-Forscher von Google glauben jedoch, dass diese Schwachstellen ausgenutzt wurden
Zero-Day-Exploits in freier Wildbahn vor den Patches.Heliconia Framework kann kommerzielle Spyware einsetzen
Die Google Threat Analysis Group wurde ursprünglich auf das Heliconia-Framework aufmerksam gemacht, indem ein anonymer Benutzer einen Fehlerberichtsdienst einreichte. Der Benutzer, der drei Fehler meldete, prägte den Namen "Heliconia". Die drei Berichte hießen „Heliconia Noise“, „Heliconia Soft“ bzw. „Files“.
Heliconia Noise ist ein Framework, das einen Windows-Exploit für einen Chrome-Renderer-Fehler bereitstellt, dem dann ein Chrome-Sandbox-Escape und eine Agenteninstallation folgen. Die Chrome-Versionen 90.0.4430.72 bis 91.0.4472.106 (von April bis Juni 2021) waren diesem Exploit bis August 2021 ausgesetzt.
Das Heliconia Soft-Framework stellt ein PDF bereit, das einen Windows Defender-Exploit enthält. Die Dateien bestehen aus verschiedenen Exploits für Linux- und Windows-Systeme.
Heliconia befasst sich mit der Verbreitung kommerzieller Spyware auf Zielgeräten. Wie in Googles TAG-Beitrag zu diesem Thema angegeben, fügt diese Art von Schadprogramm „erweiterte Überwachungsfunktionen ein die Hände von Regierungen, die sie benutzen, um Journalisten, Menschenrechtsaktivisten, die politische Opposition und andere auszuspionieren Dissidenten."
Googles TAG engagiert sich für die Bekämpfung kommerzieller Spyware
Googles TAG schloss seinen Blog-Beitrag zum Heliconia-Framework, dass das „Wachstum der Spyware-Industrie die Benutzer gefährdet und das Internet weniger sicher macht“. Kommerzielle Spyware kann auch dann missbraucht werden, wenn "Überwachungstechnologie nach nationalem oder internationalem Recht legal ist".
Aufgrund dieser Gefahr haben Google und TAG erklärt, dass sie "weiterhin Maßnahmen gegen die kommerzielle Spyware-Industrie ergreifen und Forschungsergebnisse über sie veröffentlichen" werden.
Spyware stellt ein Risiko für Millionen von Internetnutzern dar
Spyware kann genutzt werden, um die digitalen Aktivitäten von Personen ohne deren Erlaubnis oder Wissen zu überwachen. Private Daten sind anfällig für Diebstahl durch Spyware, die sowohl zum Vorteil des Angreifers als auch zum Ausnutzen des Ziels verwendet werden kann. Auch wenn kommerzielle Spyware in bestimmten Ländern legal ist, kann sie dennoch unethisch verwendet werden und Bürger gefährden. Aus diesem Grund versuchen Teams wie TAG von Google, solche Programme kontinuierlich zu identifizieren, zu überwachen und anzugehen.