Google phát hiện ra khung khai thác được sử dụng để phát tán phần mềm gián điệp

Google đã phát hiện ra một khung khai thác bằng cách sử dụng các lỗ hổng Windows, Firefox và Chrome hiện đã được vá để triển khai phần mềm gián điệp.

Nhóm phân tích mối đe dọa của Google đã công bố phát hiện ra một khung khai thác sử dụng các lỗ hổng hiện đã được vá để phát tán phần mềm gián điệp. Công ty CNTT Tây Ban Nha Variston đã được liên kết với việc khai thác.

Một công ty CNTT Tây Ban Nha có thể đã khai thác lỗ hổng Windows

Vào ngày 30 tháng 11 năm 2022, Nhóm phân tích mối đe dọa (TAG) của Google đã thông báo trong một bài đăng trên blog của Google rằng một khung khai thác có tên “Heliconia” có thể có quan hệ với Công ty CNTT Variston của Tây Ban Nha. Khung này đã khai thác các lỗ hổng hiện đã được vá của Chrome, Firefox và Bộ bảo vệ Microsoft để triển khai phần mềm gián điệp nguy hiểm.

Variston, nhà cung cấp giải pháp bảo mật bị cáo buộc đang được đề cập, có trụ sở tại Barcelona và có thể đã khai thác lỗ hổng n-day để phát tán phần mềm gián điệp. Các lỗ hổng N-day đề cập đến các lỗ hổng bảo mật bị khai thác đã được vá. Tuy nhiên, các nhà nghiên cứu TAG của Google tin rằng những lỗ hổng này đã được sử dụng để khai thác zero-day trước các bản vá.

Heliconia Framework có thể triển khai phần mềm gián điệp thương mại

Nhóm phân tích mối đe dọa của Google ban đầu được biết về khung Heliconia thông qua một người dùng ẩn danh gửi lên dịch vụ báo cáo lỗi của mình. Người dùng đã báo cáo ba lỗi và đặt tên là “Heliconia”. Ba báo cáo lần lượt được đặt tên là “Heliconia Noise”, “Heliconia Soft” và “Files”.

Heliconia Noise là một khung triển khai khai thác Windows cho lỗi trình kết xuất Chrome, sau đó là quá trình cài đặt tác nhân và thoát hộp cát Chrome. Các phiên bản Chrome 90.0.4430.72 đến 91.0.4472.106 (từ tháng 4 đến tháng 6 năm 2021) đã bị khai thác lỗ hổng này cho đến tháng 8 năm 2021.

Khung Heliconia Soft triển khai một tệp PDF chứa khai thác Windows Defender. Tệp bao gồm nhiều cách khai thác khác nhau cho cả hệ thống Linux và Windows.

Heliconia đối phó với sự lây lan của phần mềm gián điệp thương mại trên các thiết bị được nhắm mục tiêu. Như đã nêu trong bài đăng TAG của Google về vấn đề này, loại chương trình độc hại này đặt “các khả năng giám sát tiên tiến vào tay các chính phủ, những người sử dụng chúng để theo dõi các nhà báo, nhà hoạt động nhân quyền, phe đối lập chính trị và những người bất đồng chính kiến.”

TAG của Google cam kết xử lý phần mềm gián điệp thương mại

TAG của Google đã kết luận bài đăng trên blog của mình về khuôn khổ Heliconia rằng “sự phát triển của ngành công nghiệp phần mềm gián điệp khiến người dùng gặp rủi ro và khiến Internet kém an toàn hơn”. Phần mềm gián điệp thương mại có thể bị lạm dụng ngay cả khi “công nghệ giám sát có thể hợp pháp theo luật quốc gia hoặc quốc tế”.

Vì mối nguy hiểm này, Google và TAG đã tuyên bố rằng họ sẽ “tiếp tục hành động chống lại và công bố nghiên cứu về ngành công nghiệp phần mềm gián điệp thương mại”.

Phần mềm gián điệp gây rủi ro cho hàng triệu người dùng Internet

Phần mềm gián điệp có thể được tận dụng để giám sát hoạt động kỹ thuật số của mọi người mà họ không được phép hoặc không biết. Dữ liệu riêng tư dễ bị đánh cắp thông qua phần mềm gián điệp, có thể được sử dụng để mang lại lợi ích cho kẻ tấn công và khai thác mục tiêu. Mặc dù phần mềm gián điệp thương mại có thể hợp pháp ở một số quốc gia, nhưng nó vẫn có thể được sử dụng một cách phi đạo đức và có thể khiến người dân gặp rủi ro. Đây là lý do tại sao các nhóm như TAG của Google đang tìm cách liên tục xác định, theo dõi và giải quyết các chương trình như vậy.