Gli Esperti di Google Svelano: Gli Spyware Commerciali Dominano le Vulnerabilità Zero-Day
Nel corso del 2023, l’80% delle vulnerabilità zero-day, utilizzate per sorvegliare dispositivi in tutto il mondo, è stato attribuito ai fornitori di spyware commerciali (CSV) da parte del Threat Analysis Group (TAG) di Google.
Le vulnerabilità zero-day sono difetti di sicurezza di cui i fornitori del software interessato non sono a conoscenza o per i quali non sono disponibili soluzioni.
Il TAG di Google ha sorvegliato 40 fornitori di spyware commerciali per individuare tentativi di sfruttamento, proteggere gli utenti dei suoi prodotti e contribuire a proteggere la comunità più ampia, comunicando i risultati chiave alle parti interessate.
Dall’analisi effettuata, Google ha rilevato che 35 dei 72 exploit zero-day noti che hanno colpito i suoi prodotti negli ultimi dieci anni possono essere attribuiti ai fornitori di spyware.
“Si tratta di una stima conservativa, in quanto considera solo gli exploit zero-day noti. Il numero effettivo di exploit zero-day sviluppati dai CSV, mirati ai prodotti Google, è presumibilmente più elevato, considerando anche gli exploit non rilevati dai ricercatori, quelli il cui punto di origine è sconosciuto e i casi in cui una vulnerabilità è stata risolta prima che gli sfruttamenti fossero individuati.” – ha dichiarato Google.
I fornitori di spyware utilizzano queste vulnerabilità per sorvegliare giornalisti, attivisti e figure politiche, come richiesto dai loro clienti, inclusi governi e organizzazioni private.
Alcuni tra i principali CSV evidenziati nel rapporto di Google includono:
- Cy4Gate e RCS Lab: aziende italiane note per gli spyware “Epeius” e “Hermit” per Android e iOS. Cy4Gate ha acquisito RCS Lab nel 2022, ma entrambe operano indipendentemente.
- Intellexa: un consorzio di aziende di spyware guidate da Tal Dilian dal 2019. Utilizzano tecnologie come lo spyware “Predator” di Cytrox e gli strumenti di intercettazione WiFi di WiSpear, offrendo soluzioni integrate di spionaggio.
- Negg Group: un CSV italiano con presenza internazionale, fondato nel 2013. Conosciuto per il malware “Skygofree” e lo spyware “VBiss“, che mirano ai dispositivi mobili attraverso catene di exploit.
- Gruppo NSO: un’azienda israeliana famosa per lo spyware Pegasus e altri sofisticati strumenti di spionaggio. Continua le sue attività nonostante le sanzioni e le controversie legali.
- Variston: un CSV spagnolo che fornisce soluzioni di sicurezza personalizzate, collaborando con altri fornitori per gli exploit zero-day e legato al framework Heliconia, espandendosi negli Emirati Arabi Uniti.
Questi fornitori vendono licenze dei loro prodotti per milioni di dollari, permettendo ai clienti di infettare dispositivi Android o iOS utilizzando exploit non documentati 1-click o zero-click.
Alcuni exploit sfruttano difetti noti, per i quali sono disponibili correzioni, ma i ritardi nell’applicazione delle patch li rendono ancora sfruttabili per periodi prolungati.
Google riporta che i CSV sono diventati sempre più aggressivi nella ricerca di vulnerabilità zero-day, sviluppando almeno 33 exploit per difetti sconosciuti tra il 2019 e il 2023.
Nell’appendice del rapporto dettagliato di Google sono elencati 74 zero-day utilizzati da 11 CSV. La maggior parte di questi zero-day ha colpito Google Chrome (24) e Android (20), seguiti da Apple iOS (16) e Windows (6).
Quando i ricercatori white-hat scoprono e risolvono i difetti sfruttati, i CSV subiscono spesso danni operativi e finanziari significativi mentre cercano di trovare nuove vie per l’infezione.
“Ogni volta che Google e altri ricercatori sulla sicurezza scoprono e divulgano nuovi bug, ciò provoca attriti per i CSV e comporta ritardi nello sviluppo”, ha dichiarato Google. “Quando scopriamo e risolviamo le vulnerabilità utilizzate nelle catene di exploit, non solo proteggiamo gli utenti, ma preveniamo anche i CSV dall’ottenere pagamenti dai clienti e aumentiamo i loro costi operativi.”
Tuttavia, queste azioni non sono sufficienti per fermare la proliferazione di spyware, poiché la domanda di questi strumenti rimane elevata e i contratti sono troppo lucrativi perché i CSV rinuncino ad essi.
Google sollecita ulteriori azioni contro l’industria dello spyware, compresa una maggiore collaborazione tra i governi, l’implementazione di linee guida rigorose sull’uso della tecnologia di sorveglianza e sforzi diplomatici con i paesi che ospitano fornitori non conformi.
Blue Team Inside, si occupa di sicurezza informatica da più di 5 anni, con un occhio di riguardo alla difesa.
Una Padawan Etichal pronta a difendere l’anello più debole della catena…
Attenzione a non sottovalutarla, se finite vittima di una sua campagna di Spear Phishing non potrete scampare.
Tre caratteristiche che la distinguono:
La precisione
Sempre alla ricerca di imparare cose nuove
La sua auto…comprensiva di antenna
Colore preferito? Verde, ovviamente!