Segundo o Threat Analysis Group (TAG) do Google, os fornecedores de spyware estão por trás de 80% das zero-days descobertas.
Vulnerabilidades zero-day são falhas de segurança que os fornecedores de software afetado não conhecem ou para as quais não há soluções disponíveis.
Agora, o Google diz que os fornecedores de spyware comercial (CSV) estão por trás de 80% das vulnerabilidades zero-day que o Threat Analysis Group (TAG) do Google descobriu em 2023 e que foram usadas para espionar dispositivos em todo o mundo.
Fornecedores de spyware estão por trás de 80% das zero-days descobertas
O Google TAG tem acompanhado as atividades de 40 fornecedores comerciais de spyware para detectar tentativas de exploração, proteger os usuários de seus produtos e ajudar a proteger a comunidade em geral, reportando as principais descobertas às partes apropriadas.
Com base nesse monitoramento, o Google descobriu que 35 das 72 explorações de dia zero conhecidas que impactaram seus produtos nos últimos dez anos podem ser atribuídas a fornecedores de spyware.
“Esta é uma estimativa de limite inferior, pois reflete apenas explorações conhecidas de dia 0. O número real de explorações de dia 0 desenvolvidas por CSVs direcionados a produtos do Google é quase certamente maior depois de contabilizar explorações usadas por CSVs que não foram detectadas por pesquisadores, explorações cuja atribuição é desconhecida e casos em que uma vulnerabilidade foi corrigida antes que os pesquisadores descobrissem indícios de exploração em estado selvagem.” – Google
Esses fornecedores de spyware usam falhas de dia zero para atingir jornalistas, ativistas e figuras políticas conforme orientação de seus clientes, incluindo governos e organizações privadas.
Alguns CSVs notáveis destacados no relatório do Google são:
- Cy4Gate e RCS Lab : empresas italianas conhecidas pelos spywares “Epeius” e “Hermit” para Android e iOS. A primeira adquiriu a segunda em 2022, mas opera de forma independente.
- Intellexa : Aliança de empresas de spyware liderada por Tal Dilian desde 2019. Combina tecnologias como o spyware “Predator” da Cytrox e as ferramentas de interceptação WiFi da WiSpear, oferecendo soluções integradas de espionagem.
- Grupo Negg : CSV italiano com alcance internacional estabelecido em 2013. É conhecido pelo malware “Skygofree” e pelo spyware “VBiss”, visando dispositivos móveis por meio de cadeias de exploração.
- Grupo NSO : empresa israelense famosa pelo spyware Pegasus e outras ferramentas sofisticadas de espionagem. Ele continua operando apesar das sanções e questões legais.
- Variston : CSV espanhol que fornece soluções de segurança personalizadas. Colabora com outros fornecedores para explorações de dia zero e está ligada à estrutura Heliconia, expandindo-se nos Emirados Árabes Unidos.
Esses fornecedores vendem licenças para usar seus produtos por milhões de dólares, permitindo que os clientes infectem dispositivos Android ou iOS usando explorações não documentadas de 1 clique ou zero clique.
Algumas das cadeias de exploração utilizam n-dias, que são falhas conhecidas para as quais estão disponíveis correções, mas os atrasos na correção ainda as tornam exploráveis para fins maliciosos, muitas vezes por longos períodos.
O Google afirma que os CSVs se tornaram muito agressivos em sua busca por zero-days, desenvolvendo pelo menos 33 explorações para vulnerabilidades desconhecidas entre 2019 e 2023.
No apêndice do relatório detalhado do Google, pode-se encontrar uma lista de 74 dias zero usados por 11 CSVs. Destes, a maioria tem impacto de dia zero no Google Chrome (24) e Android (20), seguidos pelo Apple iOS (16) e Windows (6).
Quando pesquisadores de chapéu branco descobrem e corrigem as falhas exploradas, os CSVs muitas vezes incorrem em danos operacionais e financeiros significativos enquanto lutam para reconstruir um caminho de infecção alternativo e funcional.
“Cada vez que o Google e outros pesquisadores de segurança descobrem e divulgam novos bugs, isso causa atrito para os CSVs e custa-lhes ciclos de desenvolvimento”, diz o Google.
“Quando descobrimos e corrigimos vulnerabilidades usadas em cadeias de exploração, isso não apenas protege os usuários, mas evita que os CSVs cumpram seus acordos com os clientes, impedindo que sejam pagos e aumentando seus custos para continuarem operando.”
No entanto, isto não é suficiente para impedir a proliferação de spyware, uma vez que a procura por estas ferramentas é forte e os contratos são demasiado lucrativos para os CSV desistirem.
O Google pede que sejam tomadas mais medidas contra a indústria de spyware, incluindo níveis mais elevados de colaboração entre governos, a introdução de diretrizes rigorosas que regem o uso de tecnologia de vigilância e esforços diplomáticos com países que hospedam fornecedores não conformes.
O Google está combatendo proativamente as ameaças de spyware por meio de soluções como Navegação segura, segurança do Gmail, Programa de Proteção Avançada (APP) e Google Play Protect, além de manter a transparência e compartilhar abertamente informações sobre ameaças com a comunidade de tecnologia.
