Investigadores de ciberseguridad del Threat Analysis Group (TAG) de Google afirman que una empresa comercial de España desarrolló una red de explotación (se abre en una pestaña nueva) para Windows, Chrome y Firefox, y probablemente lo vendió a entidades gubernamentales en el pasado.
En una publicación de blog publicada a principios de esta semana, el equipo de TAG dice que una empresa con sede en Barcelona llamada Variston IT probablemente esté vinculada al marco Heliconia, que explota las vulnerabilidades de n-day en Chrome, Firefox y Microsoft Defender. (se abre en una pestaña nueva). También dice que la compañía probablemente proporcionó todas las herramientas necesarias para implementar una carga útil en un punto final de destino. (se abre en una pestaña nueva).
Sin explotaciones activas
Todas las empresas afectadas habían solucionado las vulnerabilidades que se explotaron a través del marco Heliconia en 2021 y principios de 2022, y dado que TAG no encontró ninguna explotación activa, lo más probable es que el marco se haya utilizado en días cero. Aún así, para protegerse completamente contra Heliconia, TAG sugiere a todos los usuarios que mantengan su software actualizado.
Google fue alertado por primera vez sobre Heliconia a través de un envío anónimo a Chrome (se abre en una pestaña nueva) programa de informe de errores. Quien haya presentado el envío agregó tres errores, cada uno con instrucciones y un archivo con el código fuente. Se llamaron «Heliconia Noise», «Heliconia Soft» y «Files». Un análisis posterior ha demostrado que contenían «marcos para implementar exploits en la naturaleza» y que el código fuente apuntaba a Variston IT.
Heliconia Noise se describe como un marco para implementar un exploit para un error del renderizador de Chrome, seguido de un escape de sandbox. Heliconia Soft, por otro lado, es un marco web que despliega un PDF que contiene un exploit para Windows Defender, mientras que Files es un conjunto de Firefox. (se abre en una pestaña nueva) exploits encontrados tanto en Windows como en Linux.
Dado el hecho de que el exploit Heliconia funciona en las versiones 64 a 68 de Firefox, es probable que estuviera en uso a fines de 2018, sugiere Google.
Hablando con TechCrunch, el director de TI de Variston, Ralf Wegner, dijo que la compañía no estaba al tanto de la investigación de Google y no podía validar los hallazgos, pero agregó que estaría «sorprendido si tal artículo se encontrara en la naturaleza».
software espía comercial (se abre en una pestaña nueva) es una industria en crecimiento, dice Google, y agrega que no se quedará de brazos cruzados mientras estas entidades venden explotaciones de vulnerabilidades a gobiernos que luego las usan para atacar a opositores políticos, periodistas, activistas de derechos humanos y disidentes.
Quizás el ejemplo más famoso es el NSO Group con sede en Israel y su software espía Pegasus, que llevó a la empresa a la lista negra de los Estados Unidos.
A través de: TechCrunch (se abre en una pestaña nueva)