Khung khai thác, được gọi là Heliconia, được Google phát hiện do một số tiết lộ ẩn danh đối với chương trình báo cáo lỗi của Chrome, chương trình này đã xác định các lỗ hổng có thể khai thác trong Firefox, Windows Defender và Chrome có thể được sử dụng để cài đặt phần mềm gián điệp trên thiết bị mục tiêu . Mã nguồn của khung hack đã được gửi và nó đã xác định các lỗ hổng là Heliconia Noise, Heliconia Soft và Files. Theo Google, bằng chứng chỉ ra công ty công nghệ Variston IT có trụ sở tại Barcelona là người tạo ra khuôn khổ
Nội dung
Bạn có thể xem nội dung này trên trang web nơi nó xuất hiện ban đầu
Theo các nhà nghiên cứu của TAG nói với WIRED, "những phát hiện chỉ ra rằng chúng tôi có nhiều người chơi nhỏ trong ngành công nghiệp phần mềm gián điệp, nhưng có liên quan mạnh mẽ đến zero day. "
Giám đốc của Variston IT, Ralf Wegner, nói với TechCrunch rằng công ty không có cơ hội xem xét nghiên cứu của Google và không thể xác thực nó. Variston CNTT đã không trả lời yêu cầu bình luận từ WIRED. Google xác nhận rằng các nhà nghiên cứu đã không liên hệ với bộ phận CNTT của Variston trước khi xuất bản, cũng như thông lệ tiêu chuẩn của công ty trong các loại điều tra này, đồng thời nói thêm rằng ông "sẽ ngạc nhiên nếu vật phẩm đó được tìm thấy ngoài tự nhiên". "
Các lỗ hổng Heliconia đã được Google, Microsoft và Mozilla vá vào năm 2021 và 2022 và Google tuyên bố rằng các lỗi này hiện không được sử dụng. Tuy nhiên, bằng chứng từ các báo cáo lỗi cho thấy rằng khung này có thể đã được sử dụng để khai thác các lỗ hổng bắt đầu từ năm 2018 và 2019, rất lâu trước khi chúng được vá. TAG đã làm việc với các thành viên của nhóm săn lỗi Project Zero của Google và nhóm bảo mật Chrome V8 trong quá trình nghiên cứu. Heliconia Noise đã sử dụng lỗ hổng trình kết xuất Chrome và hộp cát thoát, trong khi Heliconia Soft sử dụng tệp PDF có khai thác Windows Defender và Files đã triển khai một nhóm khai thác Firefox cho Windows và Linux
Tuy nhiên, cũng có thể công cụ hack đã phát triển. Các nhà nghiên cứu của TAG nói với WIRED: “Có thể có những cách khai thác khác, một khung mới, cách khai thác của chúng không vượt qua hệ thống của chúng tôi hoặc hiện có các lớp khác để bảo vệ cách khai thác của chúng”. Google hiện không thấy bằng chứng khai thác
TAG đã phát triển các tính năng phát hiện cho dịch vụ Duyệt web an toàn của Google để cảnh báo người dùng về các trang web và tệp liên quan đến Heliconia và các nhà nghiên cứu nhấn mạnh rằng việc luôn cập nhật phần mềm là rất quan trọng
Trong một bài đăng trên blog về những phát hiện này, TAG tuyên bố rằng "sự phát triển của ngành công nghiệp phần mềm gián điệp khiến người dùng gặp rủi ro và làm giảm tính bảo mật của internet. Và mặc dù công nghệ giám sát có thể hợp pháp theo luật pháp quốc gia hoặc quốc tế, nhưng chúng thường được sử dụng theo những cách có hại để thực hiện hoạt động gián điệp kỹ thuật số chống lại một loạt các nhóm. ”
Khung khai thác, được đặt tên là Heliconia, đã thu hút sự chú ý của Google sau một loạt các đệ trình ẩn danh tới chương trình báo cáo lỗi của Chrome. Các tiết lộ chỉ ra các lỗ hổng có thể khai thác trong Chrome, Windows Defender và Firefox có thể bị lạm dụng để triển khai phần mềm gián điệp trên các thiết bị mục tiêu, bao gồm cả máy tính Windows và Linux. Đệ trình bao gồm mã nguồn từ khung hack Heliconia và gọi các lỗ hổng là Heliconia Noise, Heliconia Soft và Files. Google cho biết bằng chứng chỉ ra công ty công nghệ Variston IT có trụ sở tại Barcelona là nhà phát triển khuôn khổ hack
Nội dung
Nội dung này cũng có thể được xem trên trang web nó bắt nguồn từ
“Các phát hiện chỉ ra rằng chúng tôi có nhiều người chơi nhỏ trong ngành phần mềm gián điệp, nhưng có khả năng mạnh mẽ liên quan đến zero day,” các nhà nghiên cứu của TAG nói với WIRED, đề cập đến các lỗ hổng chưa được biết, chưa được vá.
Variston CNTT đã không trả lời yêu cầu bình luận từ WIRED. Giám đốc của công ty, Ralf Wegner, nói với TechCrunch rằng Variston không có cơ hội xem xét nghiên cứu của Google và không thể xác thực nó. Anh ấy nói thêm rằng anh ấy “sẽ ngạc nhiên nếu vật phẩm như vậy được tìm thấy trong tự nhiên. ” Google xác nhận rằng các nhà nghiên cứu đã không liên hệ với bộ phận CNTT của Variston trước khi xuất bản, đây cũng là thông lệ tiêu chuẩn của công ty trong các loại điều tra này.
Google, Microsoft và Mozilla đã vá các lỗ hổng Heliconia vào năm 2021 và 2022 và Google cho biết họ chưa phát hiện bất kỳ hoạt động khai thác lỗ hổng nào hiện tại. Nhưng bằng chứng trong các lần gửi lỗi chỉ ra rằng khung này có khả năng đã được sử dụng để khai thác các lỗ hổng bắt đầu từ năm 2018 và 2019, rất lâu trước khi chúng được vá. Heliconia Noise đã khai thác lỗ hổng trình kết xuất Chrome và thoát hộp cát, trong khi Heliconia Soft sử dụng tệp PDF độc hại có khai thác Windows Defender và Files đã triển khai một nhóm khai thác Firefox cho Windows và Linux. TAG đã hợp tác nghiên cứu với các thành viên của nhóm tìm lỗi Project Zero của Google và nhóm bảo mật Chrome V8
Việc Google không thấy bằng chứng khai thác hiện tại có thể có nghĩa là khung Heliconia hiện không hoạt động, nhưng nó cũng có thể chỉ ra rằng công cụ hack đã phát triển. Các nhà nghiên cứu của TAG nói với WIRED: “Có thể có những cách khai thác khác, một khung mới, cách khai thác của chúng không vượt qua hệ thống của chúng tôi hoặc hiện có các lớp khác để bảo vệ cách khai thác của chúng”.
Cuối cùng, nhóm cho biết mục tiêu của họ với loại nghiên cứu này là làm sáng tỏ các phương pháp, khả năng kỹ thuật và lạm dụng của ngành công nghiệp phần mềm gián điệp thương mại. TAG đã tạo các phát hiện cho dịch vụ Duyệt web an toàn của Google để cảnh báo về các trang web và tệp liên quan đến Heliconia và các nhà nghiên cứu nhấn mạnh rằng việc luôn cập nhật phần mềm là rất quan trọng
“Sự phát triển của ngành công nghiệp phần mềm gián điệp khiến người dùng gặp rủi ro và khiến internet kém an toàn hơn,” TAG viết trong một bài đăng trên blog về những phát hiện này. “Và mặc dù công nghệ giám sát có thể hợp pháp theo luật pháp quốc gia hoặc quốc tế, nhưng chúng thường được sử dụng theo những cách có hại để thực hiện hoạt động gián điệp kỹ thuật số chống lại một loạt các nhóm. ”
Khung khai thác, được đặt tên là Heliconia, đã thu hút sự chú ý của Google sau một loạt các đệ trình ẩn danh tới chương trình báo cáo lỗi của Chrome. Các tiết lộ chỉ ra các lỗ hổng có thể khai thác trong Chrome, Windows Defender và Firefox có thể bị lạm dụng để triển khai phần mềm gián điệp trên các thiết bị mục tiêu, bao gồm cả máy tính Windows và Linux. Đệ trình bao gồm mã nguồn từ khung hack Heliconia và gọi các lỗ hổng là Heliconia Noise, Heliconia Soft và Files. Google cho biết bằng chứng chỉ ra công ty công nghệ Variston IT có trụ sở tại Barcelona là nhà phát triển khuôn khổ hack
“Các phát hiện chỉ ra rằng chúng tôi có nhiều người chơi nhỏ trong ngành phần mềm gián điệp, nhưng có khả năng mạnh mẽ liên quan đến zero day,” các nhà nghiên cứu của TAG nói với WIRED, đề cập đến các lỗ hổng chưa được biết, chưa được vá.
Variston CNTT đã không trả lời yêu cầu bình luận từ WIRED. Giám đốc của công ty, Ralf Wegner, nói với TechCrunch rằng Variston không có cơ hội xem xét nghiên cứu của Google và không thể xác thực nó. Anh ấy nói thêm rằng anh ấy “sẽ ngạc nhiên nếu vật phẩm như vậy được tìm thấy trong tự nhiên. ” Google xác nhận rằng các nhà nghiên cứu đã không liên hệ với bộ phận CNTT của Variston trước khi xuất bản, đây cũng là thông lệ tiêu chuẩn của công ty trong các loại điều tra này.
Google, Microsoft và Mozilla đã vá các lỗ hổng Heliconia vào năm 2021 và 2022 và Google cho biết họ chưa phát hiện bất kỳ hoạt động khai thác lỗ hổng nào hiện tại. Nhưng bằng chứng trong các lần gửi lỗi chỉ ra rằng khung này có khả năng đã được sử dụng để khai thác các lỗ hổng bắt đầu từ năm 2018 và 2019, rất lâu trước khi chúng được vá. Heliconia Noise đã khai thác lỗ hổng trình kết xuất Chrome và thoát hộp cát, trong khi Heliconia Soft sử dụng tệp PDF độc hại có khai thác Windows Defender và Files đã triển khai một nhóm khai thác Firefox cho Windows và Linux. TAG đã hợp tác nghiên cứu với các thành viên của nhóm tìm lỗi Project Zero của Google và nhóm bảo mật Chrome V8
Việc Google không thấy bằng chứng khai thác hiện tại có thể có nghĩa là khung Heliconia hiện không hoạt động, nhưng nó cũng có thể chỉ ra rằng công cụ hack đã phát triển. Các nhà nghiên cứu của TAG nói với WIRED: “Có thể có những cách khai thác khác, một khung mới, cách khai thác của chúng không vượt qua hệ thống của chúng tôi hoặc hiện có các lớp khác để bảo vệ cách khai thác của chúng”.
Cuối cùng, nhóm cho biết mục tiêu của họ với loại nghiên cứu này là làm sáng tỏ các phương pháp, khả năng kỹ thuật và sự lạm dụng của ngành công nghiệp phần mềm gián điệp thương mại. TAG đã tạo các phát hiện cho dịch vụ Duyệt web an toàn của Google để cảnh báo về các trang web và tệp liên quan đến Heliconia và các nhà nghiên cứu nhấn mạnh rằng việc luôn cập nhật phần mềm là rất quan trọng
“Sự phát triển của ngành công nghiệp phần mềm gián điệp khiến người dùng gặp rủi ro và khiến internet kém an toàn hơn,” TAG viết trong một bài đăng trên blog về những phát hiện này. “Và mặc dù công nghệ giám sát có thể hợp pháp theo luật pháp quốc gia hoặc quốc tế, nhưng chúng thường được sử dụng theo những cách có hại để thực hiện hoạt động gián điệp kỹ thuật số chống lại một loạt các nhóm. ”