Des chercheurs en cybersécurité du Threat Analysis Group (TAG) de Google affirment qu’une société commerciale espagnole a développé un réseau d’exploitation (s’ouvre dans un nouvel onglet) pour Windows, Chrome et Firefox, et l’a probablement vendu à des entités gouvernementales dans le passé.
Dans un article de blog publié plus tôt cette semaine, l’équipe TAG affirme qu’une société basée à Barcelone appelée Variston IT est probablement liée au framework Heliconia, qui exploite les vulnérabilités n-day dans Chrome, Firefox et Microsoft Defender. (s’ouvre dans un nouvel onglet). Il indique également que la société a probablement fourni tous les outils nécessaires pour déployer une charge utile sur un point de terminaison cible. (s’ouvre dans un nouvel onglet).
Aucune exploitation active
Toutes les entreprises concernées avaient corrigé les vulnérabilités qui avaient été exploitées via le framework Heliconia en 2021 et au début de 2022, et étant donné que TAG n’a trouvé aucune exploitation active, le framework a très probablement été utilisé les jours zéro. Néanmoins, pour se protéger pleinement contre Heliconia, TAG suggère à tous les utilisateurs de maintenir leur logiciel à jour.
Google a été alerté pour la première fois sur Heliconia via une soumission anonyme au Chrome (s’ouvre dans un nouvel onglet) programme de rapport de bogues. Celui qui a déposé la soumission a ajouté trois bogues, chacun avec des instructions et une archive avec le code source. Ils ont été nommés « Heliconia Noise », « Heliconia Soft » et « Files ». Une analyse plus approfondie a montré qu’ils contenaient des « frameworks pour déployer des exploits dans la nature » et que le code source pointait vers Variston IT.
Heliconia Noise est décrit comme un cadre pour déployer un exploit pour un bogue de rendu Chrome, suivi d’une évasion de bac à sable. Heliconia Soft, quant à lui, est un framework web qui déploie un PDF contenant un exploit pour Windows Defender, tandis que Files est un ensemble de Firefox (s’ouvre dans un nouvel onglet) exploits trouvés à la fois sur Windows et Linux.
Étant donné que l’exploit Heliconia fonctionne sur les versions 64 à 68 de Firefox, il était probablement utilisé fin 2018, suggère Google.
S’adressant à TechCrunch, le directeur informatique de Variston, Ralf Wegner, a déclaré que la société n’était pas au courant des recherches de Google et ne pouvait pas valider les résultats, mais a ajouté qu’il serait « surpris si un tel élément était trouvé dans la nature ».
Logiciels espions commerciaux (s’ouvre dans un nouvel onglet) est une industrie en pleine croissance, dit Google, ajoutant qu’elle ne restera pas les bras croisés car ces entités vendent des exploits de vulnérabilité aux gouvernements qui les utilisent plus tard pour cibler les opposants politiques, les journalistes, les militants des droits de l’homme et les dissidents.
L’exemple le plus célèbre est peut-être le groupe NSO basé en Israël et son logiciel espion Pegasus, qui a placé l’entreprise sur la liste noire des États-Unis.
Passant par: Tech Crunch (s’ouvre dans un nouvel onglet)