报告披露
在安全报告中,谷歌揭示了自2016年以来,披露的针对苹果、Adobe、谷歌、微软和Mozilla产品的60多个零日漏洞用于商业间谍软件和多个商业间谍软件服务商有关。
间谍软件厂商
安全报告深入分析了帮助政府在设备上安装间谍软件服务商的运作情况。这些商业间谍软件供应商声称其产品和服务仅用于合法监控,通常是执法目的,但大量调查显示,利用它们来打击政治反对派、记者、持不同政见者和人权捍卫者。
商业间谍软件供应商准备支付数百万美元购买能让他们完全控制设备(尤其是运行安卓和 iOS 系统的手机)的漏洞,但这些公司也能从单个客户身上赚取数百万美元。除了间谍软件本身,客户还能获得初始交付机制和所需的漏洞利用程序、指挥和控制基础设施,以及用于整理从被入侵设备上窃取的数据的工具。
谷歌威胁分析小组(TAG)目前跟踪了大约 40 家商业间谍软件供应商,这些供应商开发并向政府出售漏洞利用程序和恶意软件。
在最新报告中,谷歌列举了其中 11 家供应商,包括 Candiru、Cy4Gate、DSIRF、Intellexa、Negg、NSO Group、PARS Defense、QuaDream、RCS Lab、Variston 和 Wintego Systems。
该公司将 2016 年以来发现的 60 多个独特的 Android、Chrome、iOS/macOS、WhatsApp 和 Firefox 零日漏洞归因于这些公司。该列表不包括间谍软件供应商被观察到利用的已知(NDAY)安全漏洞。
在 TAG 于 2023 年发现的 25 个被利用的漏洞中,有 20 个被间谍软件供应商利用。此外,自 2014 年年中以来,谷歌产品被利用的 72 个零日漏洞中,有 35 个是由这些公司利用的。
安全报告中指出,这些只是已发现的漏洞。被利用漏洞的实际数量可能更高,因为还有一些漏洞尚未被检测到,或者尚未与间谍软件供应商建立联系。
财务角度
间谍软件供应商愿意支付数百万美元以获取能够完全控制设备的漏洞。他们也能从单个客户那里获得高额收入,提供的服务包括传递机制、漏洞、命令控制基础设施以及窃取数据的工具。
报告追踪厂商
谷歌的威胁分析小组(TAG)正在追踪大约40家为政府客户开发和销售间谍工具的厂商。
谷歌在报告中提到了若干家间谍软件供应商,包括Candiru、Cy4Gate、DSIRF、Intellexa、Negg、NSO集团、PARS Defense、QuaDream、RCS Lab、Variston和Wintego Systems。
漏洞的归因
超过60个自2016年以来发现的独特零日漏洞被认定与上述供应商有关。
2023年回顾
在2023年,TAG发现的25个零日漏洞中,有20个被认为是间谍软件供应商所利用。自2014年中以来,针对谷歌产品的72个零日漏洞中有35个涉及这些公司。
典型案例
例如,苹果公司于2023年4月匆忙发布补丁的iOS零日漏洞CVE-2023-28205和CVE-2023-28206,以及于5月发布补丁的CVE-2023-32409,都已被西班牙公司Variston利用。对安卓漏洞 CVE-2023-33063 的利用现在也与同一家间谍软件供应商有关。
苹果公司最近警告说,CVE-2023-42916 和 CVE-2023-42917 这两个 iOS 漏洞已被土耳其公司 PARS Defense 利用。
谷歌 4 月份修复的 Chrome 浏览器漏洞 CVE-2023-2033 和 CVE-2023-2136 以及 6 月份解决的 CVE-2023-3079 都归咎于 Intellexa。
CVE-2023-7024 是 Chrome 浏览器在 2023 年修复的第八个零日漏洞,现在已归咎于 NSO 集团。
谷歌在 9 月份修复 CVE-2023-5217 时曾警告说,Chrome 浏览器漏洞已被一家间谍软件供应商利用,但没有指明该公司的名称。新报告显示,该间谍软件供应商是总部位于以色列的 Candiru。
CVE-2023-4211、CVE-2023-33106、CVE-2023-33107 安卓漏洞被认为是意大利公司 Cy4Gate 所为。
安全补丁
谷歌和苹果在对零日漏洞进行修补时,会在其公告中告知客户正在被利用,但不会提供任何有关攻击或攻击者的信息。谷歌的最新报告首次将其中几个零日漏洞与特定的间谍软件供应商联系起来。
原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/tw/spyware-vendors-linked-to-zero-day-exploits.html