Хищнический промысел
Эксперты Google Threat Analysis Group сообщили, что некие хакеры, работающие в интересах неназванного государства, использовали минимум пять уязвимостей нулевого дня в браузере Chrome и операционной системе Android для распространения шпионского ПО. Подразумевается коммерческая разработка - программа Predator, созданная фирмой Cytrox.
В августе-октябре 2021 г. злоумышленники запустили три разные кибершпионские кампании. С помощью уязвимостей, о которых Google на тот момент не было ничего известно, операторы кампаний устанавливали импланты Predator на полностью обновленные устройства под управлением Android OS.
В ходе атак использовались четыре уязвимости в Chrome (CVE-2021-37973, CVE-2021-37976, CVE-2021-38000 и CVE-2021-38003) и одна непосредственно в Android (CVE-2021-1048).
Уязвимости в Chrome включали ошибки, связанные с некорректным использованием памяти, утечкой информации и другими проблемами. Баг в Android также связан с использованием уже высвобожденной области памяти.
Комбинации багов
В ходе трех выявленных киберкампаний использовались разные комбинации уязвимостей. В частности, операторы первой кампании использовали уязвимость в Google Chrome CVE-2021-38000 для того, чтобы заставить этот браузер открывать другой - Samsung Browser. По-видимому, у злоумышленников были наготове эксплойты для этого браузера, который, в свою очередь, задействует более старую (и уязвимую) версию платформы Chromium.
В рамках второй кампании использовались две уязвимости (CVE-2021-37973, CVE-2021-37976), позволявшие выйти за пределы безопасной среды («песочницы») Chrome и дальше осуществлять разные вредоносные действия.
Третья кампания использовала уязвимости в Chrome и Android (CVE-2021-38003, CVE-2021-1048) для получения контроля над устройством под Android.
Во всех случаях атаки начинались с посланий в электронной почте, содержавших вредоносные ссылки. Эти ссылки перенаправляли жертву на вредоносный домен, откуда закачивались эксплойты, а затем - на легитимный ресурс, запрошенный пользователем. Если вредоносный домен по какой-то причине не функционировал, жертва сразу попадала на безопасный ресурс.
Атаки носили узконаправленный характер: количество жертв во всех случаях не превышало нескольких десятков человек.
В декабре 2021 г. компания Citizen Lab опубликовала свое собственное исследование шпионского ПО CytroxPredator, обнаруженного на смартфоне египетского политика Аймана Нура (Ayman Nour). В тот раз речь шла, впрочем, о версии Predator под iOS.
Кроме него, у Нура обнаружился еще и печально знаменитый шпионский модуль NSO Group Pegasus, то есть он стал жертвой сразу двух разных атак.
В исследовании Citizen Labs указывается, что Cytrox - компания, происходящая, по-видимому, из Северной Македонии с представительствами в Венгрии и Израиле. В 2018 г. Cytrox, вероятно, был перекуплен бизнес-структурами, тесно связанными с Вооруженными силами Израиля. Эти компании также занимаются разработками различных средств слежения через коммуникационные сети.
В Google TAG считают, что Cytrox продавал свою разработку всем желающим, так что за различными кампаниями стояли разные группы хакеров. Жертвами атак стали пользователи в Египте, Армении, Греции, Кот ДИвуаре, Сербии, Испании, Индонезии и на Мадагаскаре.
«Cytrox - лишь одна из структур, предлагающих шпионские инструменты тем, кто больше заплатит, а недостатка в желающих и имеющих возможность заплатить в сегодняшнем мире нет, - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. - Сейчас в Европе и США пытаются законодательно ограничить или вовсе запретить использование программных средств, подобных Pegasus, но практическая реализуемость такого запрета вызывает сомнения. Высокое качество программного кода - единственный надежный способ застраховаться от эксплуатации уязвимостей: нет багов - нет проблем».