Le groupe d'analyse des menaces de Google a annoncé la découverte d'un cadre d'exploit qui utilisait des vulnérabilités désormais corrigées pour propager des logiciels espions. La société informatique espagnole Variston a été liée à l'exploit.
Une entreprise informatique espagnole a peut-être exploité une vulnérabilité de Windows
Le 30 novembre 2022, le Threat Analysis Group (TAG) de Google a annoncé dans un Article de blog Google qu'un cadre d'exploitation nommé "Heliconia" pourrait avoir des liens avec la société informatique espagnole Variston. Le framework a exploité les vulnérabilités Chrome, Firefox et Microsoft Defender désormais corrigées afin de déployer logiciel espion dangereux.
Variston, le fournisseur présumé de solutions de sécurité en question, est basé à Barcelone et pourrait avoir exploité des vulnérabilités n-day pour diffuser des logiciels espions. Les vulnérabilités N-day font référence aux failles de sécurité exploitées qui ont été corrigées. Cependant, les chercheurs du TAG de Google pensent que ces vulnérabilités ont été utilisées pour
exploits du jour zéro dans la nature avant les patchs.Heliconia Framework peut déployer des logiciels espions commerciaux
Le Google Threat Analysis Group a été initialement informé du framework Heliconia via une soumission sur son service de rapport de bogues par un utilisateur anonyme. L'utilisateur, qui a signalé trois bugs, a inventé le nom "Heliconia". Les trois rapports ont été nommés respectivement "Heliconia Noise", "Heliconia Soft" et "Files".
Heliconia Noise est un framework qui déploie un exploit Windows pour un bug du moteur de rendu Chrome, qui est ensuite suivi d'un échappement de bac à sable Chrome et d'une installation d'agent. Les versions Chrome 90.0.4430.72 à 91.0.4472.106 (allant d'avril à juin 2021) ont été exposées à cet exploit jusqu'en août 2021.
Le framework Heliconia Soft déploie un PDF contenant un exploit Windows Defender. Les fichiers consistent en divers exploits pour les systèmes Linux et Windows.
Heliconia s'occupe de la propagation des logiciels espions commerciaux sur les appareils ciblés. Comme indiqué dans le message TAG de Google à ce sujet, ce type de programme malveillant met "des capacités de surveillance avancées dans entre les mains des gouvernements qui les utilisent pour espionner les journalistes, les militants des droits de l'homme, l'opposition politique et dissidents."
Le TAG de Google s'engage à lutter contre les logiciels espions commerciaux
Le TAG de Google a conclu son article de blog concernant le cadre Heliconia que "la croissance de l'industrie des logiciels espions met les utilisateurs en danger et rend Internet moins sûr". Les logiciels espions commerciaux peuvent faire l'objet d'abus même si "la technologie de surveillance peut être légale en vertu des lois nationales ou internationales".
En raison de ce danger, Google et TAG ont déclaré qu'ils "continueront à prendre des mesures contre et à publier des recherches sur l'industrie des logiciels espions commerciaux".
Les logiciels espions représentent un risque pour des millions d'internautes
Les logiciels espions peuvent être exploités pour surveiller l'activité numérique des personnes sans leur permission ou leur connaissance. Les données privées sont vulnérables au vol via les logiciels espions, qui peuvent être utilisés à la fois pour profiter à l'attaquant et exploiter la cible. Bien que les logiciels espions commerciaux puissent être légaux dans certains pays, ils peuvent toujours être utilisés de manière contraire à l'éthique et peuvent mettre les citoyens en danger. C'est pourquoi des équipes comme le TAG de Google cherchent à identifier, surveiller et traiter ces programmes de manière continue.