كشفت مجموعة تحليل التهديدات (TAG) التابعة لشركة Google عن عدد من الثغرات الأمنية التي تم معالجتها في العام الماضي والتي تم استغلالها من قبل بائعي برامج التجسس التجارية لاستهداف أجهزة Android و iOS.
كانت الحملتان المتميزتان محدودتان ومستهدفتان للغاية ، مستفيدة من فجوة التصحيح بين إصدار الإصلاح والوقت الفعلي لنشره على الأجهزة المستهدفة. حجم الحملتين وطبيعة الأهداف غير معروف حاليًا.
ومع ذلك ، فإن حجم الحملتين وطبيعة الأهداف غير معروفين حاليًا. (إزالة هذه الفقرة)
وقال كليمان ليسين من TAG في تقرير جديد: "هؤلاء البائعون يمكّنون من انتشار أدوات القرصنة الخطرة ، ويسلحون الحكومات التي لن تكون قادرة على تطوير هذه القدرات داخليًا".
"في حين أن استخدام تقنيات المراقبة قد يكون قانونيًا بموجب القوانين الوطنية أو الدولية ، إلا أنه غالبًا ما يتبين أن الحكومات تستخدمها لاستهداف المنشقين والصحفيين والعاملين في مجال حقوق الإنسان وسياسيي أحزاب المعارضة".
تمت أولى العمليتين في نوفمبر 2022 وتضمنت إرسال روابط مختصرة عبر رسائل SMS إلى المستخدمين الموجودين في إيطاليا وماليزيا وكازاخستان.
عند النقر ، أعادت عناوين URL توجيه المستلمين إلى صفحات الويب التي تستضيف عمليات استغلال لنظام Android أو iOS ، قبل إعادة توجيههم مرة أخرى إلى مواقع الأخبار الشرعية أو مواقع تتبع الشحنات.
استفادت سلسلة استغلال iOS من العديد من الأخطاء ، بما في ذلك CVE-2022-42856 (يوم صفر في ذلك الوقت) ، و CVE-2021-30900 ، وتجاوز رمز مصادقة المؤشر ( PAC ) ، لتثبيت ملف .IPA على الجهاز الحساس.
تتألف سلسلة استغلال Android من ثلاث ثغرات - CVE-2022-3723 ، و CVE-2022-4135 (يوم صفر في وقت إساءة الاستخدام) ، و CVE-2022-38181 - لتقديم حمولة غير محددة.
بينما تم تصحيح CVE-2022-38181 ، وهو خطأ تصعيد امتياز يؤثر على Mali GPU Kernel Driver ، بواسطة Arm في أغسطس 2022 ، فمن غير المعروف ما إذا كان الخصم يمتلك بالفعل ثغرة للعيب قبل إصدار التصحيح.
هناك نقطة أخرى جديرة بالملاحظة وهي أن مستخدمي Android الذين نقروا على الرابط وفتحوه في Samsung Internet Browser تمت إعادة توجيههم إلى Chrome باستخدام طريقة تسمى إعادة التوجيه intent .
الحملة الثانية ، التي تمت ملاحظتها في ديسمبر 2022 ، تألفت من عدة أيام صفر و n أيام تستهدف أحدث إصدار من Samsung Internet Browser ، مع تسليم الثغرات كروابط لمرة واحدة عبر الرسائل القصيرة إلى الأجهزة الموجودة في الإمارات العربية المتحدة.
صفحة الويب ، على غرار تلك التي استخدمتها شركة برامج التجسس الإسبانية Variston IT ، زرعت في النهاية مجموعة أدوات ضارة تعتمد على C ++ قادرة على جمع البيانات من تطبيقات الدردشة والمتصفح.
تشكل العيوب المستغلة CVE-2022-4262 و CVE-2022-3038 و CVE-2022-22706 و CVE-2023-0266 و CVE-2023-26083 . يُعتقد أن سلسلة الثغرات قد تم استخدامها من قبل عميل أو شريك Variston IT.
وصفت منظمة العفو الدولية ، في تقرير منسق ، حملة القرصنة في ديسمبر / كانون الأول 2022 بأنها متقدمة ومعقدة وأن الثغرة "طورتها شركة تجارية للمراقبة الإلكترونية وبيعت إلى قراصنة الحكومات لتنفيذ هجمات برامج تجسس مستهدفة".
وقالت المنظمة الدولية غير الحكومية: "حملة برامج التجسس المكتشفة حديثًا نشطة منذ عام 2020 على الأقل واستهدفت الأجهزة المحمولة وأجهزة سطح المكتب ، بما في ذلك مستخدمي نظام التشغيل Android من Google" . "تم تسليم برامج التجسس وعمليات الاستغلال في يوم الصفر من شبكة واسعة تضم أكثر من 1000 مجال ضار ، بما في ذلك المجالات التي تنتحل مواقع ويب الوسائط في العديد من البلدان."
ومع ذلك ، فإن حجم الحملتين وطبيعة الأهداف غير معروفين حاليًا.
تأتي هذه الاكتشافات بعد أيام فقط من إعلان الحكومة الأمريكية أمرًا تنفيذيًا يقيد الوكالات الفيدرالية من استخدام برامج التجسس التجارية التي تمثل خطرًا على الأمن القومي.
قال ليسين: "هذه الحملات تذكير بأن صناعة برامج التجسس التجارية مستمرة في الازدهار". "حتى بائعي أجهزة المراقبة الأصغر لديهم إمكانية الوصول إلى أيام الصفر ، كما أن قيام البائعين بتخزين واستخدام ثغرات يوم الصفر في السر يشكل خطرًا شديدًا على الإنترنت".
"قد تشير هذه الحملات أيضًا إلى أن عمليات الاستغلال والتقنيات يتم تبادلها بين بائعي أجهزة المراقبة ، مما يتيح انتشار أدوات القرصنة الخطرة."