本文来自微信公众号“嘶吼专业版”,作者/胡金鱼。
Google威胁分析小组(TAG)在2023年发现的用于监视全球设备的0 day漏洞中,80%都是商业间谍软件供应商(CSV)所为。他们跟踪了40家商业间谍软件供应商,发现过去10年间影响其产品的72个已知的野外0 day漏洞中有35个可归因于间谍软件供应商。
“这是一个下限估计,因为它只反映了已知的0 day漏洞。在考虑了CSV使用的尚未检测到的漏洞之后,针对Google产品的CSV开发的0 day漏洞的实际数量几乎肯定会更高。”谷歌相关人员表示。
这些间谍软件供应商根据客户(包括政府和私人组织)的指示,利用0 day漏洞来攻击记者、公众人物和政治人物。
Google报告中突出显示的一些值得注意的CSV包括:
·Cy4Gate和RCS Lab:意大利公司,以Android和iOS的“Epeius”和“Hermit”间谍软件而闻名。前者于2022年收购后者,但独立运营。
·Intellexa:自2019年起由Tal Dilian领导的间谍软件公司联盟。它结合了Cytrox的“Predator”间谍软件和WiSpear的WiFi拦截工具等技术,提供集成的间谍解决方案。
·Negg Group:意大利CSV,成立于2013年。它以“Skygofree”恶意软件和“VBiss”间谍软件而闻名,通过漏洞利用链针对移动设备。
·NSO集团:以Pegasus间谍软件和其他复杂间谍工具而闻名的以色列公司。尽管涉及法律问题,但它仍在继续运营。
·Variston:西班牙CSV,提供量身定制的安全解决方案。它与其他供应商合作进行0 day漏洞利用,并与Heliconia框架相关联,在阿联酋进行扩展。
这些供应商以数百万美元的价格出售使用其产品的许可证,允许客户使用未记录的一键或零点击漏洞来感染Android或iOS设备。
谷歌表示,CSV在寻找0 day漏洞方面非常积极,在2019年至2023年间开发了至少33个针对未知漏洞的漏洞利用程序。
在Google详细报告的附录中,可以找到11个CSV使用的74个0 day的列表。其中,大多数是影响Google Chrome(24)和Android(20)的0 day漏洞,其次是Apple iOS(16)和Windows(6)。
当白帽研究人员发现并修复被利用的漏洞时,CSV通常会遭受重大的运营和财务损失,因为他们很难重建有效的替代感染途径。
谷歌表示:“每次谷歌和其他安全研究人员发现并披露新的错误,都会给CSV带来阻力并降低开发周期。”
“当我们发现并修补漏洞利用链中使用的漏洞时,它不仅可以保护用户,还可以阻止CSV履行与客户的协议,阻止他们获得报酬,并增加他们继续运营的成本。”
谷歌呼吁需对间谍软件行业采取更多行动,包括政府之间加强合作、引入严格的指导方针来管理监控技术的使用,以及与托管不合规供应商的国家进行外交努力。
Google通过安全浏览、Gmail安全、高级保护计划(APP)和Google Play Protect等解决方案,以及通过与技术社区公开共享威胁信息等举措,积极应对间谍软件威胁。
