Il Threat Analysis Group (TAG) di Google, che è attivamente alla ricerca di vulnerabilità, ha segnalato nove zero-day che interessavano Chrome, Android, Apple e Microsoft lo scorso luglio.
Una vulnerabilità zero-day è una vulnerabilità del software scoperta dagli aggressori prima che il fornitore ne sia a conoscenza.
Mentre le vulnerabilità sono state affrontate dalle rispettive aziende, Google ha ora dettagliato quella che sembra essere una campagna mirata contro gli utenti Android con cinque distinte vulnerabilità zero-day.
Secondo Google, i malintenzionati hanno utilizzato gli exploit zero-day insieme agli exploit n-day (vulnerabilità zero-day che sono state rese pubbliche, alias vulnerabilità one-day) per sfruttare la differenza di tempo tra il momento in cui alcuni bug critici sono stati patchati ma non segnalati come problemi di sicurezza e il momento in cui queste patch sono state completamente distribuite nell’ecosistema Android. Tutte e tre le campagne che il team TAG di Google stava monitorando sono state veicolate tramite link una tantum camuffati da servizi di accorciatori di URL agli utenti Android presi di mira tramite e-mail. Una volta cliccato, il link reindirizzava l’utente a un dominio di proprietà dell’aggressore che forniva gli exploit prima di reindirizzare il browser a un sito web legittimo. Tuttavia, se il link non era attivo, l’utente veniva reindirizzato direttamente a un sito web legittimo.
Google afferma che l’obiettivo di queste campagne era limitato a meno di un centinaio di utenti. L’azienda sostiene che questa tecnica è stata utilizzata contro giornalisti e altri obiettivi non identificati, avvisandoli quando possibile. Google afferma che tutti e cinque gli exploit che hanno preso di mira gli utenti Android sono stati confezionati da un’unica società commerciale di sorveglianza chiamata Cytrox e venduti a diversi attori sostenuti dal governo che operano in Egitto, Armenia, Grecia, Madagascar, Costa d’Avorio, Serbia, Spagna e Indonesia. Il rapporto afferma inoltre che sette dei nove zero-days scoperti da TAG nel 2021 sono stati sviluppati da fornitori commerciali e venduti ad attori sostenuti dal governo. Google afferma che il suo team TAG sta attualmente monitorando oltre 30 fornitori con “vari livelli di sofisticazione e di esposizione pubblica” che vendono exploit o capacità di sorveglianza ad attori sostenuti dai governi.
