Google: Поставщики шпионского ПО стоят за 50 % "нулевых ошибок", которые будут использоваться в 2023 году

Группа анализа угроз Google (TAG) и дочерняя компания Google Mandiant заявили о значительном увеличении числа уязвимостей нулевого дня, используемых в атаках в 2023 году, многие из которых связаны с поставщиками шпионского ПО и их клиентами.

В прошлом году число уязвимостей нулевого дня, использованных в атаках, достигло 97, что на 50 % больше, чем в предыдущем году, когда число уязвимостей составляло 62. Несмотря на этот рост, показатель остается ниже пикового значения в 106 уязвимостей нулевого дня, использованных в 2021 году.

Компании Mandiant и TAG совместно обнаружили 29 случаев из 97 уязвимостей, причем 61 из них затрагивала платформы и продукты конечных пользователей (включая мобильные устройства, операционные системы, браузеры и различные другие приложения).

Остальные 36 уязвимостей были использованы для атак на технологии, ориентированные на предприятия, такие как программное обеспечение и устройства безопасности.

"В корпоративном сегменте мы видим более широкий спектр поставщиков и продуктов, на которые направлены атаки, а также увеличение числа используемых технологий, ориентированных на предприятия", - предупреждает Google [PDF].

"С годами мы поняли, что чем быстрее мы обнаруживаем и исправляем ошибки злоумышленников, тем короче срок жизни эксплойта и тем дороже обходится злоумышленникам поддержание его возможностей".

В прошлом году финансово мотивированные субъекты использовали десять уязвимостей нулевого дня, что меньше, чем в 2022 году. Среди них группа угроз FIN11 использовала три отдельные уязвимости нулевого дня, а по меньшей мере четыре группы, занимающиеся выкупным ПО, использовали еще четыре уязвимости нулевого дня.

Больше всего атак, поддерживаемых правительством, было связано с Китаем: в 2023 году китайские группы кибершпионажа использовали 12 уязвимостей нулевого дня, что заметно больше, чем семь в 2022 году, и является тенденцией последних лет.

Шпионское ПО стоит за 50 % всех "нулевых дней", эксплуатируемых в 2023 году

Однако в 2023 году за большинством эксплойтов нулевого дня, направленных на продукты Google и устройства экосистемы Android, стояли коммерческие поставщики средств наблюдения (CSV).

Они ответственны за 75 % известных эксплойтов нулевого дня, направленных на эти платформы (13 из 17 уязвимостей). Кроме того, эти поставщики были связаны с 48 эксплойтами нулевого дня, использовавшимися в атаках в прошлом году, что составляет около 50 % всех таких уязвимостей, используемых в дикой природе в 2023 году.

Наконец, из 37 уязвимостей "нулевого дня" в браузерах и мобильных устройствах, использованных в 2023 году, более 60 % Google связала с CSV, которые продают правительственным клиентам шпионские программы.

"В конечном счете, CSV и их правительственные клиенты, использующие эти возможности, провели половину приписываемых правительственным субъектам операций нулевого дня в 2023 году (24 из 48 уязвимостей)", - заявили в Google.

"Частные компании занимаются поиском и продажей эксплойтов уже много лет, но за последние несколько лет мы наблюдаем заметное увеличение числа эксплойтов, созданных этими субъектами".

В феврале Google сообщила, что большинство уязвимостей нулевого дня, обнаруженных ее группой TAG в прошлом году, были связаны с наемными производителями шпионского ПО.

Компания также связала производителей шпионского ПО с 35 из 72 известных эксплойтов "нулевого дня", использовавшихся в дикой природе в течение последнего десятилетия.

В февральском отчете Google упоминаются такие производители шпионского ПО, как:

• Cy4Gate и RCS Lab: Итальянский производитель шпионских программ Epeius и Hermit для Android и iOS.
• Intellexa: Альянс компаний-шпионов под руководством Тала Дилиана, объединяющий такие технологии, как шпионское ПО "Predator" от Cytrox и инструменты для перехвата WiFi от WiSpear.
• Negg Group: Итальянская CSV с международным охватом, известная своими вредоносными программами Skygofree и шпионскими программами VBiss, нацеленными на мобильных пользователей через цепочки эксплойтов.
• NSO Group: Израильская фирма, стоящая за шпионским ПО Pegasus и другими инструментами коммерческого шпионажа.
• Variston: Испанский производитель шпионских программ, связанный с фреймворком Heliconia и известный сотрудничеством с другими производителями средств наблюдения в области эксплойтов нулевого дня.

Для защиты от атак нулевого дня Google рекомендовала пользователям с высоким уровнем риска включить расширение Memory Tagging Extension (MTE) на устройствах Pixel 8 и режим Lockdown на смартфонах iPhone.

Компания также рекомендовала пользователям Chrome с высоким уровнем риска включить режим "HTTPS-First Mode" и отключить оптимизатор v8, чтобы избавиться от потенциальных уязвимостей в системе безопасности, связанных с компиляцией JIT (Just-in-Time), которая может позволить злоумышленникам манипулировать данными или внедрять вредоносный код.

Кроме того, Google предлагает пользователям с повышенным риском зарегистрироваться в программе Advanced Protection Program (APP), которая обеспечивает повышенную безопасность аккаунта и встроенные средства защиты, предназначенные для защиты от злоумышленников, поддерживаемых государством.

В начале этого месяца Управление по контролю за иностранными активами Министерства финансов США (OFAC) ввело санкции против операторов шпионского ПО Predator - компаний Cytrox, Intellexa, Thalestris и израильского основателя консорциума Intellexa Тала Джонатана Дилиана.

В феврале Государственный департамент США также объявил о новой политике визовых ограничений, направленной на лиц, связанных с коммерческим шпионским ПО, которая запретит им въезд в Соединенные Штаты.