Il Threat Analysis Group di Google ha rivelato oggi nuovi dettagli sugli sforzi compiuti per identificare e contribuire a correggere un exploit zero-day che colpisce i dispositivi Android costruiti da un fornitore di sorveglianza commerciale e che risale almeno al 2016. La ricerca, presentata alla conferenza sulla sicurezza informatica Black Hat di Las Vegas, rappresenta l’ultimo tentativo da parte di Google di intensificare gli sforzi contro un’industria della sorveglianza privata che sta prosperando, secondo i ricercatori.
La vulnerabilità in questione, denominata CVE-2021-0920, era un exploit zero-day “in the wild” in un meccanismo di garbage collection all’interno del kernel Linux, il pezzo centrale del software che governa l’intero sistema operativo Linux. Google afferma che gli aggressori, utilizzando una catena di exploit che includeva la vulnerabilità, sono stati in grado di ottenere il controllo remoto dei dispositivi degli utenti.
Google afferma di aver già attribuito una serie di exploit zero-day di Android allo sviluppatore che si cela dietro CVE-2021-0920. In questo caso, un portavoce di Google ha dichiarato a Gizmodo che il fornitore di sorveglianza ha utilizzato “diverse tecniche di sfruttamento nuove e inedite per aggirare le mitigazioni difensive esistenti”. Questo, secondo il portavoce, suggerisce che il fornitore è ben finanziato.
Sebbene la vulnerabilità CVE-2021-0920 sia stata patchata lo scorso settembre in risposta alle ricerche di Google, quest’ultima afferma che l’exploit è stato identificato prima del 2016 e segnalato alla Linux Kernel Mailing List. All’epoca era stata proposta una patch adeguata, ma alla fine gli sviluppatori della Linux Foundation l’hanno rifiutata. Google ha condiviso il thread pubblico di e-mail del kernel Linux dell’epoca, che mostra un disaccordo sull’opportunità di implementare o meno la patch.
“Perché dovrei applicare una patch che è una RFC, non ha un messaggio di commit appropriato, non ha un signoff appropriato e non ha nemmeno un ACK e un feedback da parte di altri sviluppatori competenti”, ha scritto uno sviluppatore.
Rispondere all’era della sorveglianza per conto terzi
Negli ultimi anni Google ha intensificato gli sforzi per individuare e identificare pubblicamente i gruppi di spyware, in parte in risposta all’aumento del numero di attacchi. In una testimonianza rilasciata alla Commissione Intelligence della Camera all’inizio di quest’anno, il direttore del Threat Analysis Group di Google, Shane Huntley, ha dichiarato che “la crescita dei fornitori di spyware commerciali e dei gruppi di hacker a pagamento ha reso necessaria la crescita dei TAG [gruppi di analisi delle minacce] per contrastare queste minacce”.
Huntley ha affermato che le recenti scoperte del suo team suggeriscono che le aziende di spyware commerciale avanzato, come NSO Group con sede in Israele, sono riuscite ad acquisire capacità di hacking un tempo riservate alle agenzie di intelligence statali più avanzate del mondo. L’uso di queste tecniche, che possono includere exploit “zero click” che prendono il controllo di un dispositivo potenzialmente senza che l’utente abbia mai interagito con contenuti dannosi, sembra essere in aumento e viene effettuato per volere dei governi, ha suggerito Huntley. Sette dei nove exploit zero-day scoperti dal team di Huntley lo scorso anno sarebbero stati sviluppati da fornitori commerciali e venduti ad attori sponsorizzati dallo Stato. Le tecniche di sorveglianza altamente tecniche, un tempo disponibili solo per un gruppo selezionato di Paesi, ora possono essere semplicemente acquistate dal miglior offerente.
“Questi fornitori stanno consentendo la proliferazione di pericolosi strumenti di hacking, armando attori statali che altrimenti non sarebbero in grado di sviluppare queste capacità internamente”, ha dichiarato Huntley. “Sebbene l’uso delle tecnologie di sorveglianza possa essere legale ai sensi delle leggi nazionali o internazionali, si scopre che alcuni attori statali le utilizzano per scopi antitetici ai valori democratici: prendere di mira dissidenti, giornalisti, operatori dei diritti umani e politici dei partiti di opposizione”.
“Questa industria sembra essere fiorente”. Ha detto Huntley.
