Лаборатория безопасности Amnesty International сообщила, что шпионская кампания, проводимая хакерами-«наемниками», использовала уязвимость нулевого дня в устройствах Android.
В своем отчете, опубликованном в среду, исследователи безопасности заявили, что уведомили Google о шпионской кампании в декабре, которая вызвала обновления программного обеспечения, которые предотвратили взлом «миллиардов пользователей Android, Chrome и Linux», уязвимых для уязвимости нулевого дня. .
Правозащитная организация не назвала имя компании-шпиона, пока продолжает расследование и отслеживание ее деятельности. Тем не менее, Amnesty International заявила, что «атака продемонстрировала все признаки продвинутой шпионской кампании, разработанной коммерческой компанией по кибернаблюдению и проданной правительственным хакерам для проведения целевых атак шпионского ПО».
Также в среду группа анализа угроз Google (TAG) подробно описала уязвимость нулевого дня, о которой сообщила Amnesty International, а также уязвимость нулевого дня на устройствах iOS, используемую в рамках отдельной шпионской кампании.
Сообщения о шпионских кампаниях, которые правительства используют против диссидентов, журналистов, правозащитников и членов политической оппозиции, появились на той же неделе, когда президент США Джо Байден издал запрет на использование коммерческих шпионских программ федеральными агентствами, за исключением определенных случаев, таких как исследования.
Amnesty International поделилась своими техническими выводами с Google TAG и другими поставщиками, включая Samsung, которые выпустили обновления безопасности для устройств, затронутых эксплойтом.
«Недобросовестные компании-шпионы представляют реальную угрозу конфиденциальности и безопасности каждого. Мы призываем людей убедиться, что на их устройствах установлены последние обновления безопасности», — заявил в пресс-релизе Доннча О Сирбхейл, глава Лаборатории безопасности Amnesty International. Он также призвал ввести глобальный мораторий на продажу, передачу и использование шпионского ПО до тех пор, пока не будут приняты меры по защите прав человека.
Google перехватил цепочку эксплойтов нулевого дня, которая использовалась для взлома Android-устройств в декабре. По данным Amnesty International, кампания активна как минимум с 2020 года и нацелена на мобильные и настольные устройства, включая ОС Android от Google. Шпионское ПО и эксплойты исходили из сети, состоящей из более чем 1000 вредоносных доменов, включая поддельные медиа-сайты в нескольких странах.
Пользователи Android в Объединенных Арабских Эмиратах были нацелены на ссылки, отправленные через SMS, которые устанавливали шпионское ПО на телефон цели, если щелкнуть, и выявляли активность, связанную с кампанией в Индонезии, Беларуси и Италии.
По данным Amnesty International, Google TAG определил, что цепочка эксплойтов использовала несколько нулевых дней в полностью пропатченном устройстве Samsung Android, а также в ядре Linux для получения привилегий root на телефоне, а также в настольных и встроенных системах Linux.
Google детализирует шпионские кампании, эксплойты нулевого дня
Google TAG подробно описал две кампании в сообщении блога от 29 марта. Первая кампания — CVE-2022-42856; CVE-2022-4135 — была обнаружена в ноябре и поражала устройства Android и iOS через ссылки bit.ly, отправляемые через SMS пользователям в Италии, Малайзии и Казахстане.
Цепочка эксплойтов iOS нацелена на версии до 15.1 и включает CVE-2022-42856, которая представляет собой удаленное выполнение кода WebKit, использующее тип путаницы в JIT-компиляторе. Также использовалась техника обхода PAC, которую Apple исправила в марте 2022 года.
Эксплойт Android был нацелен на пользователей телефонов с графическим процессором ARM с версиями Chrome до 106 и состоял из трех эксплойтов нулевого дня: CVE-2022-3723, CVE-2022-4135 и CVE-2022-38181.
Вторая кампания, о которой сообщила TAG Amnesty International, была нацелена на 0-days и n-days в последней версии интернет-браузера Samsung (CVE-2022-4262; CVE-2023-0266). Как пояснили в Google, цепочка эксплойтов предоставила полнофункциональный шпионский костюм для Android, написанный на C++, который включает библиотеки для расшифровки и сбора данных из различных чатов и браузерных приложений.
