Il Threat Analysis Group (TAG) di Google in un recente rapporto ha descritto in dettaglio tre campagne malevole rivolte a utenti Android che avrebbero sfruttato ben cinque distinte vulnerabilità 0-day:
- CVE-2021-37973 , CVE-2021-37976 , CVE-2021-38000 , CVE-2021-38003 in Chrome
- CVE-2021-1048 in Android
L’obiettivo finale
Secondo il TAG i relativi exploit sarebbero stati allestiti da un’unica società di sorveglianza commerciale Cytrox e venduti a diversi attori nation-state operanti in Egitto, Armenia, Grecia, Madagascar, Costa d’Avorio, Serbia, Spagna e Indonesia.
L’obiettivo finale dell’operazione, secondo i ricercatori, sarebbe stato quello di distribuire il malware Alien, come testa di ponte per caricare, in una fase successiva, sui dispositivi Android infetti Predator, un impianto Android già descritto da CitizenLab nel dicembre 2021 e prodotto dalla stessa Cytrox.
Predator prenderebbe il controllo dei target inviando ad Alien dei comandi con un meccanismo di comunicazione tra processi (IPC) per registrare audio, aggiungere certificati CA e eludere il rilevamento.
Il dettaglio delle campagne
Secondo il TAG, tutte e tre le campagne in questione sarebbero iniziate con e-mail di phishing mirato ad un numero limitato di utenti, contenenti short link camuffati per dirottare gli obiettivi verso domini deputati a rilasciare gli exploit prima di effettuare gli reindirizzamenti verso i siti web legittimi.
La prima delle tre campagne si sarebbe svolta nell’agosto 2021. Sfruttando il difetto CVE-2021- 38000 avrebbe utilizzato Google Chrome come punto di accesso su un dispositivo Samsung Galaxy S21 per forzare a caricare un altro URL nel browser Internet predefinito di Samsung senza richiedere l’interazione dell’utente.
IoC della prima campagna
- s.bit-li[.]com – Landing page
- getupdatesnow[.]xyz – exploit delivery server
La seconda campagna, avvenuta invece a settembre avrebbe colpito un Samsung Galaxy S10 aggiornato, sfruttando i difetti CVE-2021-37973 e CVE-2021-37976 per sfuggire alla sandbox di Chrome.
IoC della seconda campagna
- shorten[.]fi – landing page
- contents-domain[.]com – exploit delivery and C2 server
Infine nella terza campagna, un exploit Android completo 0-day nell’ottobre 2021 avrebbe colpito un telefono Samsung aggiornato con l’ultima versione di Chrome, sfruttando i due difetti CVE-2021-38003 e CVE-2021-1048, per sfuggire alla sandbox e iniettare codice dannoso nei processi privilegiati.
IoC della terza campagna
- shorten[.]fi – landing page
- redirecting[.]page – exploit delivery and C2 server
- 8e4edb1e07ebb86784f65dccb14ab71dfd72f2be1203765b85461e65b7ed69c6 – ALIEN
Fondamentale la cooperazione
“Il rapporto pubblicato dal team TAG di Google“, commenta Pierluigi Paganini CEO Cybhorus, esperto di cybersecurity ed intelligence, “conferma la proliferazione delle attività di sorveglianza operate da attori nation-state attraverso software spia sviluppati da una pletora crescente di aziende.”.
Significativi gli spunti di riflessione condivisi con #MatriceDigitale. “Alcuni aspetti della vicenda meritano particolare attenzione.”, continua l’esperto, “In primis la disponibilità di numerosi zero-day exploits da parte delle aziende che operano nel mercato della sorveglianza. Questi exploits sono spesso garanzia di successo per gli attaccanti che non disdegnano anche l’uso di falle note confidando nel fatto che spesso i dispositivi delle vittime non sono aggiornati per diversi motivi o che non dispongano ancora di release software che risolvano le falle.
Altro elemento interessante è che deve indurre ad una riflessione è l’utilizzo da parte di attori nation-state di software di sorveglianza sviluppati da aziende commerciali. È noto, infatti, che molti state actor dispongono della capacità di sviluppare zero-day exploits, tuttavia preferiscono utilizzare software commerciali per molteplici motivi, dalla velocità di organizzazione delle campagne di spionaggio alla difficolta di attribuzione degli attacchi.
In uno dei casi documentati di infezione dello spyware Predator, il dispositivo della vittima era infatti stato compromesso anche dallo spyware Pegasus prodotto da NSO group. Le infezioni parrebbero essere riconducibili ad attori distinti, circostanza che dimostra quanto siano diffusi i software di sorveglianza e quanto complesso sia spesso attribuire gli attacchi a specifiche entità.
Le attività condotte da gruppi di ricerca come Citizen Labs, Google TAG ed Amnesty International sono cruciali per mappare l’utilizzo dei software di sorveglianza nelle varie aree del pianeta e per comprendere quali exploit sono nell’arsenale degli attaccanti con l’intento di neutralizzarne l’efficacia.”
Pertanto dovrebbe essere ormai assodato come per contrastare efficacemente il fenomeno, la cooperazione di tutte le competenze debba necessariamente e incondizionatamente diventare un imperativo categorico.
