去年至少7個零日漏洞被商業化！間諜軟件行業正蓬勃發展

近期，Lookout、谷歌先后發布報告，披露了使用6個漏洞利用（其中有2個0day）的意大利商業間諜軟件Hermit；

谷歌安全專家稱，小組在2021年發現九個零日漏洞，其中有七個由商業供應商開發，并出售給政府支持黑客以供其使用；

隨著商業間諜軟件供應商的崛起，具備數字監控能力的政府越來越多，這對互聯網用戶構成了嚴重的信任威脅。

安全內參消息，谷歌威脅分析小組（TAG）在上周四（6月23日）發布報告，披露一家意大利間諜軟件供應商曾出售技術產品，被用于攻擊意大利及哈薩克斯坦的受害者。

這份報告印證了近期安全廠商Lookout發布的另一份報告。該報告中提到“Hermit”，一款由間諜軟件供應商RCS Labs與電信公司Tykelab Srl共同開發的監視軟件品牌。

谷歌在報告中分析了RCS Labs的間諜軟件“Hermit”，發現這家意大利供應商“通過多種策略，包括較為罕見的路過式下載（drive-by download）作為初始感染載體，攻擊iOS及Android上的移動用戶。”

谷歌威脅分析小組研究員Benoit Sevens與Clement Lecigne還談到了商業間諜軟件行業的整體情況，表示谷歌一直在追蹤供應商活動，并正在“監控并破壞這一蓬勃發展的行業。”

“威脅分析小組在2021年共發現九個零日漏洞，其中有七個由商業供應商開發，并出售給政府支持黑客以供其使用。”他們說。

“威脅分析小組正在持續跟蹤30多家供應商，這些廠商的復雜性不同、公開度各異，但都在向政府支持的黑客出售漏洞或監視功能。我們的研究結果認定，以往只有少數具備技術專長的政府才能開發并實施漏洞利用，但隨著商業監控供應商的崛起，具備這種能力的政府已經越來越多。這不僅會降低互聯網安全性，同時也將威脅用戶所依賴的信任。”

同時針對iOS與Android系統

與Lookout發布的報告一樣，谷歌發現RCS Labs的間諜軟件通常源自受害者接收到的一條鏈接。一旦點擊此鏈接，受害者就會被要求下載并安裝惡意軟件。

有證據表明受害者使用的既有Android設備，也有iOS設備。令人意外的是，谷歌認為活動背后的黑客分子有時候還會與受害者所使用的電信運營商配合，“禁用掉攻擊目標的移動數據連接。”研究人員表示，“一旦移動數據被禁用，攻擊者就能通過短信發出惡意鏈接，誘導目標安裝特定應用程序以恢復數據連接。”

 “我們認為，這也解釋了為什么大部分惡意軟件會被偽裝成移動運營商的應用程序。當電信運營商無法介入時，惡意黑客就會將應用程序偽裝成消息收發應用。”

圖：來自攻擊者所控制站點之一（WWW.FB-TECHSUPPORT[.]COM）的示例截圖。

谷歌表示，這些應用程序并沒有上架App Store，而是使用了3-1 Mobile SRL公司的企業證書進行簽名。該證書“滿足一切iOS設備上的全部iOS代碼簽名要求，因為該公司已經注冊了蘋果企業開發者計劃。”

據Sevens與Lecigne分析，該應用共涉及6個CVE漏洞，分別為：CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907, CVE-2021-30883 和CVE-2021-30983。

研究人員們提到，“上述6個漏洞中，前4個漏洞為2021年之前披露，全部基于各個越獄社區編寫的公開漏洞利用。后2個為零日漏洞。”

對于Android設備，該應用會篡改圖標將自己偽裝成合法的三星應用程序。但谷歌證實，此應用從未上架過Google Play應用商店。

谷歌還提到，他們已經更新了Google Play Protect服務，并禁用了此次攻擊中被作為命令與控制服務器的相關Firebase項目，以保護用戶。對于所有受此次間諜軟件攻擊影響的Android設備受害者，谷歌還專門推送了警告。

商業間諜軟件正在蓬勃發展

報告指出，間諜軟件行業目前正在“蓬勃發展并保持著可觀的增長速度”，眾多政府因為自身無力開發此類功能而紛紛決定采購。

但這個行業的存在，本身也與政府“保護民主這一基本價值觀背道而馳，他們提供的工具往往被政府用于打擊政治異見者、記者、人權人士以及反對黨政客。”

Sevens與Lecigne還補充稱，RCS Labs這類間諜軟件供應商還有可能在“秘密儲備零日漏洞”，并稱過去十年間已經有眾多間諜軟件廠商受到攻擊。一旦發生這種情況，“他們儲備的零日漏洞完全可能在不知不覺中被其他黑客所掌握。”

兩位研究員最后總結，“要想解決商業監視行業的負面影響，必須建立一種強大、全面的方法，引導威脅情報團隊、網絡防御者、學術研究人員、政府和技術平臺間開展通力合作。”

參考資料：therecord.media.com