Des chercheurs de Google ont déclaré mercredi qu’ils avaient lié une société informatique basée à Barcelone, en Espagne, à la vente de cadres logiciels avancés qui exploitent les vulnérabilités de Chrome, Firefox et Windows Defender.
Variston IT se présente comme un fournisseur de solutions de sécurité de l’information sur mesure, y compris la technologie pour les intégrateurs SCADA intégrés (contrôle de supervision et acquisition de données) et l’Internet des objets, les correctifs de sécurité personnalisés pour les systèmes propriétaires, les outils de découverte de données, la formation à la sécurité et le développement de protocoles sécurisés pour les dispositifs embarqués. Selon un rapport du groupe d’analyse des menaces de Google, Variston vend un autre produit qui n’est pas mentionné sur son site Web : des cadres logiciels qui fournissent tout ce dont un client a besoin pour installer subrepticement des logiciels malveillants sur les appareils qu’il souhaite espionner.
Les chercheurs Clément Lecigne et Benoit Sevens ont déclaré que les cadres d’exploit étaient utilisés pour exploiter les vulnérabilités n-day, qui sont celles qui ont été corrigées assez récemment pour que certaines cibles ne les aient pas encore installées. Les preuves suggèrent, ont-ils ajouté, que les cadres ont également été utilisés lorsque les vulnérabilités étaient des jours zéro. Les chercheurs divulguent leurs découvertes dans le but de perturber le marché des logiciels espions, qui, selon eux, est en plein essor et constitue une menace pour divers groupes.
“Les recherches de TAG soulignent que l’industrie de la surveillance commerciale est florissante et s’est considérablement développée ces dernières années, créant des risques pour les internautes du monde entier”, ont-ils écrit. “Les logiciels espions commerciaux mettent des capacités de surveillance avancées entre les mains des gouvernements qui les utilisent pour espionner les journalistes, les militants des droits de l’homme, l’opposition politique et les dissidents.”
Les chercheurs ont ensuite répertorié les frameworks, qu’ils ont reçus d’une source anonyme via le programme de rapport de bogues Chrome de Google. Chacun était accompagné d’instructions et d’une archive contenant le code source. Les frameworks portaient les noms Heliconia Noise, Heliconia Soft et Files. Les frameworks contenaient respectivement “un code source mature capable de déployer des exploits pour Chrome, Windows Defender et Firefox”.
Le framework Heliconia Noise comprenait un code pour nettoyer les fichiers binaires avant qu’ils ne soient produits par le framework afin de s’assurer qu’ils ne contiennent pas de chaînes qui pourraient incriminer les développeurs. Comme le montre l’image du script de nettoyage, la liste des mauvaises chaînes comprenait “Variston”.
Publicité
Les responsables de Variston n’ont pas répondu à un e-mail sollicitant des commentaires sur ce message.
Les frameworks exploitaient les vulnérabilités que Google, Microsoft et Firefox ont corrigées en 2021 et 2022. Heliconia Noise comprenait à la fois un exploit pour le moteur de rendu Chrome, ainsi qu’un exploit pour échapper au bac à sable de sécurité Chrome, qui est conçu pour conserver le code non fiable contenu dans un environnement protégé. environnement qui ne peut pas accéder aux parties sensibles d’un système d’exploitation. Étant donné que les vulnérabilités ont été découvertes en interne, il n’y a pas de désignations CVE.
Heliconia Noise peut être configuré par le client pour définir des éléments tels que le nombre maximal de fois pour servir les exploits, une date d’expiration et des règles spécifiant quand un visiteur doit être considéré comme une cible valide.
Heliconia Soft a inclus un fichier PDF piégé qui exploitait CVE-2021-42298, un bogue dans le moteur JavaScript de Microsoft Defender Malware Protection qui a été corrigé en novembre 2021. Le simple fait d’envoyer le document à quelqu’un suffisait pour obtenir les privilèges système convoités sur Windows car Windows Defender a automatiquement analysé les fichiers entrants.
Le framework Files contenait une chaîne d’exploitation entièrement documentée pour Firefox fonctionnant sous Windows et Linux. Il exploite CVE-2022-26485, une vulnérabilité d’utilisation après libération que Firefox a corrigée en mars dernier. Les chercheurs ont déclaré que Files exploitait probablement la vulnérabilité d’exécution de code depuis au moins 2019, bien avant qu’elle ne soit publiquement connue ou corrigée. Cela fonctionnait avec les versions 64 à 68 de Firefox. Les fichiers d’échappement sandbox sur lesquels s’appuyaient ont été corrigés en 2019.
Les chercheurs ont brossé le tableau d’un marché d’exploitation de plus en plus incontrôlable. Ils ont écrit:
Les recherches de TAG ont montré la prolifération de la surveillance commerciale et la mesure dans laquelle les fournisseurs de logiciels espions commerciaux ont développé des capacités qui n’étaient auparavant disponibles que pour les gouvernements disposant de poches profondes et d’une expertise technique. La croissance de l’industrie des logiciels espions met les utilisateurs en danger et rend Internet moins sûr, et bien que la technologie de surveillance puisse être légale en vertu des lois nationales ou internationales, elle est souvent utilisée de manière nuisible pour mener l’espionnage numérique contre un éventail de groupes. Ces abus représentent un risque sérieux pour la sécurité en ligne, c’est pourquoi Google et TAG continueront de prendre des mesures contre l’industrie des logiciels espions commerciaux et de publier des recherches à ce sujet.
Variston rejoint les rangs d’autres vendeurs d’exploits, notamment NSO Group, Hacking Team, Accuvant et Candiru.