Gugla grupa za analizu pretnji (TAG) u četvrtak je uprla prstom u severnomakedonskog programera špijunskog softvera po imenu Cytrox za razvoj eksploatacija protiv pet nultih dana (poznatijih kao nula-dnevnih) grešaka, četiri u Gugl Hromu i jedne u Androidu, za ciljanje korisnika Androida.
O-dnevne eksploatacije su korišćene zajedno sa n-dnevnim eksploatacijama pošto su programeri iskoristili vremensku razliku između vremena kada su neke kritične greške zakrpljene, ali nisu označene kao bezbednosni problemi, i kada su ove zakrpe u potpunosti primenjene u Android ekosistemu – istraživači TAG-a Klement Lesin i Kristijan Rasel su rekli.
Navodno je Cytrox spakovao eksploatacije i prodao ih različitim akterima koje podržava vlada, a koji se nalaze u Egiptu, Jermeniji, Grčkoj, Madagaskaru, Obali Slonovače, Srbiji, Španiji i Indoneziji, koji su, zauzvrat, naoružali se „bubama“ u najmanje tri različite kampanje.
Suđenje Silviju Berluskoniju zbog „bunga bunga“ žurki i drugih bahanalija
Kompanija za komercijalni nadzor je proizvođač Predatora, implantata analognog onom Pegazusa iz NSO grupe, i poznato je da je razvila alate koji omogućavaju svojim klijentima da prodru na iOS i Android uređaje.
U decembru 2021. godine, Meta Platforma (bivši Fejsbuk) je otkrila da je uklonila oko 300 naloga na Fejsbuku i Instagramu koje je kompanija koristila kao deo svojih kompromisnih kampanja.
Lista od pet iskorišćenih grešaka nultog dana u Hromu i Androidu je ispod –
CVE-2021-37973 – UAF u portalima API
CVE-2021-37976 – Curenje informacija u jezgru
CVE-2021-38000 – Nedovoljna validacija nepouzdanog unosa u namerama (analiza osnovnog uzroka)
CVE-2021-38003 – Neprikladna implementacija u V8, i
CVE-2021-1048 – UAF u Android kernelu (analiza osnovnog uzroka)
Prema TAG-u, sve tri dotične kampanje počele su sa e-poštom za krađu identiteta koja je sadržala jednokratne veze. Te veze imitiraju usluge skraćivanja URL-ova koje su, nakon klika, preusmerile mete na lažni domen koji je odbacio eksploataciju pre nego što je žrtvu odveo na legitiman sajtu.
Šojgu otkrio: Rusija odgovara na širenje Natoa sa 12 vojnih baza
Kampanje su bile ograničene, u svakom slučaju procenjujemo da je broj ciljeva bio na desetine korisnika – primetili su Lesin i Rasel.
Ako veza nije bila aktivna, korisnik je preusmeren direktno na legitimnu veb lokaciju.
Krajnji cilj operacije, ocenili su istraživači, bio je distribucija malvera pod nazivom Elijen(Alien), koji deluje kao prethodnik za učitavanje Predatora na zaražene Android uređaje.
„Jednostavan“ zlonamerni softver, koji prima komande od Predatora preko mehanizma međuprocesne komunikacije (IPC), projektovan je za snimanje zvuka, dodavanje CA sertifikata i skrivanje aplikacija kako bi se izbegao otkrivanje.
Pratite nas na društvenim mrežama Fejsbuk, Telegram i Tviter