(https://i.postimg.cc/0yJGDKfv/Malware-spyware.png) (https://postimages.org/)
Los proveedores comerciales de software espía (CSV) estaban detrás del 80% de las vulnerabilidades de día cero que el Grupo de Análisis de Amenazas (TAG) de Google descubrió en 2023 y utilizó para espiar dispositivos en todo el mundo.
Las vulnerabilidades de día cero son fallas de seguridad que los proveedores del software afectado no conocen o para las cuales no hay soluciones disponibles.
El TAG de Google ha estado siguiendo las actividades de 40 proveedores comerciales de software espía para detectar intentos de explotación, proteger a los usuarios de sus productos y ayudar a salvaguardar a la comunidad en general informando los hallazgos clave a las partes correspondientes.
Basándose en este seguimiento, Google ha descubierto que 35 de los 72 exploits de día cero conocidos que han afectado a sus productos durante los últimos diez años pueden atribuirse a proveedores de software espía.
"Esta es una estimación de límites inferiores, ya que refleja sólo exploits de día 0 conocidos. El número real de exploits de día 0 desarrollados por CSV dirigidos a productos de Google es casi con certeza mayor después de tener en cuenta los exploits utilizados por CSV que no han sido detectados por investigadores, exploits cuya atribución se desconoce y casos en los que se parchó una vulnerabilidad antes de que los investigadores descubrieran indicios de explotación en el medio natural". - Google
Esos proveedores de software espía utilizan los fallos de día cero para atacar a periodistas, activistas y figuras políticas según las indicaciones de sus clientes, incluidos gobiernos y organizaciones privadas.
Algunos CSV notables destacados en el informe de Google son:
Cy4Gate y RCS Lab: empresas italianas conocidas por los programas espía "Epeius" y "Hermit" para Android e iOS. La primera adquirió la segunda en 2022, pero opera de forma independiente.
Intellexa: Alianza de empresas de software espía liderada por Tal Dilian desde 2019. Combina tecnologías como el software espía "Predator" de Cytrox y las herramientas de interceptación WiFi de WiSpear, ofreciendo soluciones de espionaje integradas.
Negg Group: CSV italiano con alcance internacional establecido en 2013. Es conocido por el malware "Skygofree" y el software espía "VBiss", dirigido a dispositivos móviles a través de cadenas de exploits.
NSO Group: empresa israelí famosa por el software espía Pegasus y otras sofisticadas herramientas de espionaje. Continúa operaciones a pesar de sanciones y problemas legales.
Variston: CSV español que ofrece soluciones de seguridad a medida. Colabora con otros proveedores para exploits de día cero y está vinculado al marco Heliconia, que se está expandiendo en los Emiratos Árabes Unidos.
Estos proveedores venden licencias para usar sus productos por millones de dólares, lo que permite a los clientes infectar dispositivos Android o iOS mediante exploits no documentados de 1 clic o cero clic.
Algunas de las cadenas de exploits utilizan n-days, que son fallas conocidas para las cuales hay soluciones disponibles; sin embargo, los retrasos en la aplicación de parches aún los hacen explotables con fines maliciosos, a menudo durante períodos prolongados.
Google dice que los CSV se han vuelto muy agresivos en su búsqueda de días cero, desarrollando al menos 33 exploits para vulnerabilidades desconocidas entre 2019 y 2023.
En el apéndice del informe detallado de Google se puede encontrar una lista de 74 días cero utilizados por 11 CSV. De ellos, la mayoría son días cero que afectan a Google Chrome (24) y Android (20), seguidos de Apple iOS (16) y Windows (6).
Cuando los investigadores de "sombrero blanco" (White Hat) descubren y corrigen las fallas explotadas, los CSV a menudo sufren daños operativos y financieros significativos mientras luchan por reconstruir una vía de infección alternativa que funcione.
"Cada vez que Google y sus colegas investigadores de seguridad descubren y revelan nuevos errores, causa fricción en los CSV y les cuesta ciclos de desarrollo", dice Google.
"Cuando descubrimos y reparamos las vulnerabilidades utilizadas en las cadenas de exploits, no solo protegemos a los usuarios, sino que evitamos que los CSV cumplan sus acuerdos con los clientes, impidiéndoles recibir pagos y aumentando sus costos para continuar operando".
Sin embargo, esto no es suficiente para detener la proliferación de software espía, ya que la demanda de estas herramientas es fuerte y los contratos son demasiado lucrativos como para que los CSV los abandonen.
Google pide que se tomen más medidas contra la industria del software espía, incluidos mayores niveles de colaboración entre los gobiernos, la introducción de directrices estrictas que gobiernen el uso de tecnología de vigilancia y esfuerzos diplomáticos con los países que albergan proveedores que no cumplen.
Google está contrarrestando proactivamente las amenazas de software espía a través de soluciones como Navegación segura, seguridad de Gmail, el Programa de protección avanzada (APP) y Google Play Protect, además de mantener la transparencia y compartir abiertamente información sobre amenazas con la comunidad tecnológica.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/google-says-spyware-vendors-behind-most-zero-days-it-discovers/