google安全分析小组(threat analysis group,tag)本周公布了5个遭到以色列安全企业cytrox开采的安全漏洞,用以植入predator间谍程序,并借此展开3波的攻击行动。
tag隶属于google zero项目(project zero),负责关注涉及不实资讯活动、政府支撑的黑客行动,以及基于财务动机的威胁组织,在2021年时总计发现了9个零时差漏洞,去年公布了其中4个的细节,本周再接再厉公布了另外5个,而它们全都遭到cytrox利用。
cytrox所开发的5个零时差漏洞分别是位于chrome浏览器中的cve-2021-37973、cve-2021-37976、cve-2021-38000与cve-2021-38003,以及出现在android的cve-2021-1048,cytrox创造了开采上述漏洞的攻击程序,并锁定android用户展开攻击以植入predator间谍程序。
根据citizenlab的评估,向cytrox购买相关攻击程序的国家包括埃及、亚美尼亚、希腊、马达加斯加、科特迪瓦、塞尔维亚、西班牙与印尼等。且为了让predator进驻受害者手机,除了利用零时差漏洞之外,cytrox也借由修补空窗期,辅以已知漏洞的攻击程序来提高成功率,让更多缺乏先进技术的各国政府得以扩大其监控能力。
值得注意的是,在tag去年发现的9个零时差漏洞中,就有7个是由cytrox这类所谓的安全佣兵所开采,而且光是tag目前正在关注的安全佣兵就超过30家。
其中,第一次攻击发生在去年8月,只利用了cve-2021-38000漏洞,隔月的攻击串联了cve-2021-37973与cve-2021-37976漏洞,第三次攻击出现在10月,串联cve-2021-38003及cve-2021-1048漏洞。
在利用这5个零时差漏洞所发动的3次攻击中,其手法是雷同的,都是通过电子邮件传送模仿短网址的一次性连接给android用户,且3次攻击所针对的目标用户都只有数十位,一旦用户点击了连接,在连至合法网站之前,就会先被跳转至黑客所拥有的域名以植入开采程序。
这3次的攻击行动都是先传送android恶意程序alien,再由alien加载间谍程序predator,后者可用来录制设备上的声音、添加ca凭证及藏匿程序等。