Google afferma che dietro la maggior parte degli
zero-day scoperti ci sono i fornitori di spyware

Gli Esperti di Google Svelano: Gli Spyware Commerciali Dominano le Vulnerabilità Zero-Day

Nel corso del 2023, l’80% delle vulnerabilità zero-day, utilizzate per sorvegliare dispositivi in tutto il mondo, è stato attribuito ai fornitori di spyware commerciali (CSV) da parte del Threat Analysis Group (TAG) di Google.

Le vulnerabilità zero-day sono difetti di sicurezza di cui i fornitori del software interessato non sono a conoscenza o per i quali non sono disponibili soluzioni.

Il TAG di Google ha sorvegliato 40 fornitori di spyware commerciali per individuare tentativi di sfruttamento, proteggere gli utenti dei suoi prodotti e contribuire a proteggere la comunità più ampia, comunicando i risultati chiave alle parti interessate.

Dall’analisi effettuata, Google ha rilevato che 35 dei 72 exploit zero-day noti che hanno colpito i suoi prodotti negli ultimi dieci anni possono essere attribuiti ai fornitori di spyware.

“Si tratta di una stima conservativa, in quanto considera solo gli exploit zero-day noti. Il numero effettivo di exploit zero-day sviluppati dai CSV, mirati ai prodotti Google, è presumibilmente più elevato, considerando anche gli exploit non rilevati dai ricercatori, quelli il cui punto di origine è sconosciuto e i casi in cui una vulnerabilità è stata risolta prima che gli sfruttamenti fossero individuati.” – ha dichiarato Google.

I fornitori di spyware utilizzano queste vulnerabilità per sorvegliare giornalisti, attivisti e figure politiche, come richiesto dai loro clienti, inclusi governi e organizzazioni private.

Alcuni tra i principali CSV evidenziati nel rapporto di Google includono:

• Cy4Gate e RCS Lab: aziende italiane note per gli spyware “Epeius” e “Hermit” per Android e iOS. Cy4Gate ha acquisito RCS Lab nel 2022, ma entrambe operano indipendentemente.
• Intellexa: un consorzio di aziende di spyware guidate da Tal Dilian dal 2019. Utilizzano tecnologie come lo spyware “Predator” di Cytrox e gli strumenti di intercettazione WiFi di WiSpear, offrendo soluzioni integrate di spionaggio.
• Negg Group: un CSV italiano con presenza internazionale, fondato nel 2013. Conosciuto per il malware “Skygofree” e lo spyware “VBiss“, che mirano ai dispositivi mobili attraverso catene di exploit.
• Gruppo NSO: un’azienda israeliana famosa per lo spyware Pegasus e altri sofisticati strumenti di spionaggio. Continua le sue attività nonostante le sanzioni e le controversie legali.
• Variston: un CSV spagnolo che fornisce soluzioni di sicurezza personalizzate, collaborando con altri fornitori per gli exploit zero-day e legato al framework Heliconia, espandendosi negli Emirati Arabi Uniti.

Questi fornitori vendono licenze dei loro prodotti per milioni di dollari, permettendo ai clienti di infettare dispositivi Android o iOS utilizzando exploit non documentati 1-click o zero-click.

Alcuni exploit sfruttano difetti noti, per i quali sono disponibili correzioni, ma i ritardi nell’applicazione delle patch li rendono ancora sfruttabili per periodi prolungati.

Google riporta che i CSV sono diventati sempre più aggressivi nella ricerca di vulnerabilità zero-day, sviluppando almeno 33 exploit per difetti sconosciuti tra il 2019 e il 2023.

Nell’appendice del rapporto dettagliato di Google sono elencati 74 zero-day utilizzati da 11 CSV. La maggior parte di questi zero-day ha colpito Google Chrome (24) e Android (20), seguiti da Apple iOS (16) e Windows (6).

Quando i ricercatori white-hat scoprono e risolvono i difetti sfruttati, i CSV subiscono spesso danni operativi e finanziari significativi mentre cercano di trovare nuove vie per l’infezione.

“Ogni volta che Google e altri ricercatori sulla sicurezza scoprono e divulgano nuovi bug, ciò provoca attriti per i CSV e comporta ritardi nello sviluppo”, ha dichiarato Google. “Quando scopriamo e risolviamo le vulnerabilità utilizzate nelle catene di exploit, non solo proteggiamo gli utenti, ma preveniamo anche i CSV dall’ottenere pagamenti dai clienti e aumentiamo i loro costi operativi.”

Tuttavia, queste azioni non sono sufficienti per fermare la proliferazione di spyware, poiché la domanda di questi strumenti rimane elevata e i contratti sono troppo lucrativi perché i CSV rinuncino ad essi.

Google sollecita ulteriori azioni contro l’industria dello spyware, compresa una maggiore collaborazione tra i governi, l’implementazione di linee guida rigorose sull’uso della tecnologia di sorveglianza e sforzi diplomatici con i paesi che ospitano fornitori non conformi.