信息來(lái)源：安全內(nèi)參

圖：GERALT/PIXABAY

• 近期，Lookout、谷歌先后發(fā)布報(bào)告，披露了使用6個(gè)漏洞利用（其中有2個(gè)0day）的意大利商業(yè)間諜軟件Hermit；
• 谷歌安全專家稱，小組在2021年發(fā)現(xiàn)九個(gè)零日漏洞，其中有七個(gè)由商業(yè)供應(yīng)商開(kāi)發(fā)，并出售給政府支持黑客以供其使用；
• 隨著商業(yè)間諜軟件供應(yīng)商的崛起，具備數(shù)字監(jiān)控能力的政府越來(lái)越多，這對(duì)互聯(lián)網(wǎng)用戶構(gòu)成了嚴(yán)重的信任威脅。

前情回顧

• 多名歐盟高官遭以色列間諜軟件監(jiān)控，國(guó)際政要安全風(fēng)險(xiǎn)凸顯
• 2021年零日漏洞在野利用狀況：數(shù)量創(chuàng)紀(jì)錄，傳統(tǒng)漏洞為主
• 蘋(píng)果設(shè)備零日漏洞威脅持續(xù)高發(fā)，2021年已發(fā)生近十起針對(duì)性攻擊事件

安全內(nèi)參消息，谷歌威脅分析小組（TAG）在上周四（6月23日）發(fā)布報(bào)告，披露一家意大利間諜軟件供應(yīng)商曾出售技術(shù)產(chǎn)品，被用于攻擊意大利及哈薩克斯坦的受害者。

這份報(bào)告印證了近期安全廠商Lookout發(fā)布的另一份報(bào)告。該報(bào)告中提到“Hermit”，一款由間諜軟件供應(yīng)商RCS Labs與電信公司Tykelab Srl共同開(kāi)發(fā)的監(jiān)視軟件品牌。

谷歌在報(bào)告中分析了RCS Labs的間諜軟件“Hermit”，發(fā)現(xiàn)這家意大利供應(yīng)商“通過(guò)多種策略，包括較為罕見(jiàn)的路過(guò)式下載（drive-by download）作為初始感染載體，攻擊iOS及Android上的移動(dòng)用戶?！?

谷歌威脅分析小組研究員Benoit Sevens與Clement Lecigne還談到了商業(yè)間諜軟件行業(yè)的整體情況，表示谷歌一直在追蹤供應(yīng)商活動(dòng)，并正在“監(jiān)控并破壞這一蓬勃發(fā)展的行業(yè)?！?

“威脅分析小組在2021年共發(fā)現(xiàn)九個(gè)零日漏洞，其中有七個(gè)由商業(yè)供應(yīng)商開(kāi)發(fā)，并出售給政府支持黑客以供其使用。”他們說(shuō)。

“威脅分析小組正在持續(xù)跟蹤30多家供應(yīng)商，這些廠商的復(fù)雜性不同、公開(kāi)度各異，但都在向政府支持的黑客出售漏洞或監(jiān)視功能。我們的研究結(jié)果認(rèn)定，以往只有少數(shù)具備技術(shù)專長(zhǎng)的政府才能開(kāi)發(fā)并實(shí)施漏洞利用，但隨著商業(yè)監(jiān)控供應(yīng)商的崛起，具備這種能力的政府已經(jīng)越來(lái)越多。這不僅會(huì)降低互聯(lián)網(wǎng)安全性，同時(shí)也將威脅用戶所依賴的信任?！?

同時(shí)針對(duì)iOS與Android系統(tǒng)

與Lookout發(fā)布的報(bào)告一樣，谷歌發(fā)現(xiàn)RCS Labs的間諜軟件通常源自受害者接收到的一條鏈接。一旦點(diǎn)擊此鏈接，受害者就會(huì)被要求下載并安裝惡意軟件。

有證據(jù)表明受害者使用的既有Android設(shè)備，也有iOS設(shè)備。令人意外的是，谷歌認(rèn)為活動(dòng)背后的黑客分子有時(shí)候還會(huì)與受害者所使用的電信運(yùn)營(yíng)商配合，“禁用掉攻擊目標(biāo)的移動(dòng)數(shù)據(jù)連接。”研究人員表示，“一旦移動(dòng)數(shù)據(jù)被禁用，攻擊者就能通過(guò)短信發(fā)出惡意鏈接，誘導(dǎo)目標(biāo)安裝特定應(yīng)用程序以恢復(fù)數(shù)據(jù)連接?！?

“我們認(rèn)為，這也解釋了為什么大部分惡意軟件會(huì)被偽裝成移動(dòng)運(yùn)營(yíng)商的應(yīng)用程序。當(dāng)電信運(yùn)營(yíng)商無(wú)法介入時(shí)，惡意黑客就會(huì)將應(yīng)用程序偽裝成消息收發(fā)應(yīng)用?！?

圖：來(lái)自攻擊者所控制站點(diǎn)之一（WWW.FB-TECHSUPPORT[.]COM）的示例截圖。

谷歌表示，這些應(yīng)用程序并沒(méi)有上架App Store，而是使用了3-1 Mobile SRL公司的企業(yè)證書(shū)進(jìn)行簽名。該證書(shū)“滿足一切iOS設(shè)備上的全部iOS代碼簽名要求，因?yàn)樵摴疽呀?jīng)注冊(cè)了蘋(píng)果企業(yè)開(kāi)發(fā)者計(jì)劃?！?

據(jù)Sevens與Lecigne分析，該應(yīng)用共涉及6個(gè)CVE漏洞，分別為：CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907,CVE-2021-30883 和CVE-2021-30983。

研究人員們提到，“上述6個(gè)漏洞中，前4個(gè)漏洞為2021年之前披露，全部基于各個(gè)越獄社區(qū)編寫(xiě)的公開(kāi)漏洞利用。后2個(gè)為零日漏洞?！?

對(duì)于Android設(shè)備，該應(yīng)用會(huì)篡改圖標(biāo)將自己偽裝成合法的三星應(yīng)用程序。但谷歌證實(shí)，此應(yīng)用從未上架過(guò)Google Play應(yīng)用商店。

谷歌還提到，他們已經(jīng)更新了Google Play Protect服務(wù)，并禁用了此次攻擊中被作為命令與控制服務(wù)器的相關(guān)Firebase項(xiàng)目，以保護(hù)用戶。對(duì)于所有受此次間諜軟件攻擊影響的Android設(shè)備受害者，谷歌還專門推送了警告。

商業(yè)間諜軟件正在蓬勃發(fā)展

報(bào)告指出，間諜軟件行業(yè)目前正在“蓬勃發(fā)展并保持著可觀的增長(zhǎng)速度”，眾多政府因?yàn)樽陨頍o(wú)力開(kāi)發(fā)此類功能而紛紛決定采購(gòu)。

但這個(gè)行業(yè)的存在，本身也與政府“保護(hù)民主這一基本價(jià)值觀背道而馳，他們提供的工具往往被政府用于打擊政治異見(jiàn)者、記者、人權(quán)人士以及反對(duì)黨政客?！?

Sevens與Lecigne還補(bǔ)充稱，RCS Labs這類間諜軟件供應(yīng)商還有可能在“秘密儲(chǔ)備零日漏洞”，并稱過(guò)去十年間已經(jīng)有眾多間諜軟件廠商受到攻擊。一旦發(fā)生這種情況，“他們儲(chǔ)備的零日漏洞完全可能在不知不覺(jué)中被其他黑客所掌握?！?

兩位研究員最后總結(jié)，“要想解決商業(yè)監(jiān)視行業(yè)的負(fù)面影響，必須建立一種強(qiáng)大、全面的方法，引導(dǎo)威脅情報(bào)團(tuán)隊(duì)、網(wǎng)絡(luò)防御者、學(xué)術(shù)研究人員、政府和技術(shù)平臺(tái)間開(kāi)展通力合作?！?

參考資料：therecord.media