Google'i ohuanalüüsi rühm teatas, et avastas ärakasutamisraamistiku, mis kasutas nuhkvara levitamiseks nüüd parandatud turvaauke. Hispaania IT-ettevõtet Variston on kuritarvitamisega seotud.
Hispaania IT-ettevõte võis ära kasutada Windowsi haavatavust
30. novembril 2022 teatas Google'i ohuanalüüsi rühm (TAG) Google'i ajaveebi postitus et kasutusraamistik nimega "Heliconia" võib olla seotud Hispaania IT-ettevõttega Variston. Raamistik kasutas juurutamiseks ära nüüdseks parandatud Chrome'i, Firefoxi ja Microsoft Defenderi turvaauke ohtlik nuhkvara.
Variston, väidetav kõnealune turbelahenduste pakkuja, asub Barcelonas ja võis nuhkvara levitamiseks ära kasutada n-päevaseid turvaauke. N-päevased haavatavused viitavad ära kasutatud turvavigadele, mis on parandatud. Google'i TAG-i uurijad usuvad aga, et neid turvaauke kasutati selleks nullpäeva vägiteod looduses enne plaastreid.
Heliconia Framework võib juurutada kaubanduslikku nuhkvara
Google'i ohuanalüüsi gruppi teavitati Heliconia raamistikust algselt anonüümse kasutaja esitatud veateateteenuse kaudu. Kolmest veast teatanud kasutaja lõi nimeks "Heliconia". Kolm aruannet kandsid vastavalt nimed "Heliconia Noise", "Heliconia Soft" ja "Files".
Heliconia Noise on raamistik, mis juurutab Chrome'i renderdusvea jaoks Windowsi ärakasutamise, millele järgneb Chrome'i liivakasti põgenemine ja agendi installimine. Chrome'i versioonid 90.0.4430.72 kuni 91.0.4472.106 (vahemikus 2021. aasta aprillist juunini) puutusid selle ärakasutusega kokku kuni 2021. aasta augustini.
Heliconia Soft raamistik juurutab PDF-faili, mis sisaldab Windows Defenderi ärakasutamist. Failid koosnevad erinevatest ärakasutamistest nii Linuxi kui ka Windowsi süsteemide jaoks.
Heliconia tegeleb kaubandusliku nuhkvara levikuga sihitud seadmetes. Nagu Google'i selleteemalises TAG-i postituses öeldakse, lisab selline pahatahtlik programm "täiustatud jälgimisvõimalusi valitsuste käed, kes kasutavad neid ajakirjanike, inimõiguslaste, poliitilise opositsiooni ja luuramiseks dissidendid."
Google'i TAG on pühendunud kaubandusliku nuhkvara vastu võitlemisele
Google'i TAG lõpetas oma blogipostituse Heliconia raamistiku kohta, et "nuhkvaratööstuse kasv seab kasutajad ohtu ja muudab Interneti vähem turvaliseks". Kaubanduslikku nuhkvara saab kuritarvitada isegi siis, kui "seiretehnoloogia võib olla riiklike või rahvusvaheliste seaduste kohaselt seaduslik".
Selle ohu tõttu on Google ja TAG teatanud, et nad "jätkavad meetmete võtmist kaubandusliku nuhkvaratööstuse vastu ja avaldavad selle kohta uuringuid".
Nuhkvara ohustab miljoneid Interneti-kasutajaid
Nuhkvara saab kasutada inimeste digitaalse tegevuse jälgimiseks ilma nende loata või teadmata. Privaatsed andmed on haavatavad nuhkvara kaudu varguse suhtes, mida saab kasutada nii ründaja kasuks kui ka sihtmärgi ärakasutamiseks. Kuigi kaubanduslik nuhkvara võib teatud riikides olla seaduslik, võib seda siiski ebaeetiliselt kasutada ja see võib kodanikke ohtu seada. Seetõttu otsivad meeskonnad, nagu Google'i TAG, selliseid programme pidevalt tuvastada, jälgida ja nendega tegeleda.
