Коалиция из десятков стран, включая Францию, Великобританию и США, а также технологические компании, такие как Google, MDSec, Meta и Microsoft, подписали совместное соглашение о пресечении использования коммерческого шпионского ПО для нарушения прав человека.
Инициатива, получившая название Pall Mall Process, направлена на борьбу с распространением и безответственным использованием коммерческих инструментов для кибервзломов путем установления руководящих принципов и вариантов политики для государств, промышленности и гражданского общества в отношении разработки, упрощения процедур, приобретения и использования таких инструментов.
В декларации говорится, что "неконтролируемое распространение" шпионских программ способствует "непреднамеренной эскалации в киберпространстве", отмечая, что это создает риски для киберстабильности, прав человека, национальной и цифровой безопасности.
"Там, где эти инструменты используются злонамеренно, атаки могут получить доступ к устройствам жертв, прослушивать звонки, получать фотографии и удаленно управлять камерой и микрофоном с помощью шпионского ПО "без щелчка", что означает отсутствие необходимости взаимодействия с пользователем", - говорится в пресс-релизе правительства Великобритании.
По данным Национального центра кибербезопасности (NCSC), по оценкам, ежегодно тысячи людей по всему миру становятся мишенями шпионских кампаний.
"И по мере роста коммерческого рынка этих инструментов будет расти и количество и серьезность кибератак, ставящих под угрозу наши устройства и наши цифровые системы, нанося все более дорогостоящий ущерб и делая как никогда сложной задачу нашей киберзащиты по защите государственных учреждений и услуг", - сказал заместитель премьер-министра Оливер Доуден на конференции по распространению киберпреступности между Великобританией и Францией.
Примечательно, что в списке стран, участвовавших в мероприятии, отсутствует Израиль, который является домом для ряда атакующих организаций частного сектора (PSOA) или коммерческих поставщиков систем видеонаблюдения (CSV), таких как Candiru, Intellexa (Cytrox), NSO Group и QuaDream.
В "Recorded Future News" сообщили, что Венгрия, Мексика, Испания и Таиланд, которые в прошлом были связаны со злоупотреблениями шпионским ПО, не подписали обязательство.
Акция с участием многих заинтересованных сторон совпадает с объявлением Государственного департамента США об отказе в выдаче виз лицам, которые, по его мнению, причастны к неправомерному использованию опасных шпионских технологий.
"До недавнего времени отсутствие подотчетности позволяло индустрии шпионского по распространять опасные инструменты наблюдения по всему миру", - говорится в заявлении Google, опубликованном в Hacker News. "Ограничение возможностей поставщиков шпионского ПО работать в США помогает изменить структуру стимулирования, которая позволила им продолжать рост".
С одной стороны, такие шпионские программы, как Chrysaor и Pegasus, лицензированы государственным заказчикам для использования в правоохранительных органах и борьбе с терроризмом. С другой стороны, они также регулярно подвергаются злоупотреблениям со стороны репрессивных режимов, направленных против журналистов, активистов, юристов, правозащитников, диссидентов, политических оппонентов и других членов гражданского общества.
Такие вторжения обычно используют эксплойты с нулевым щелчком мыши (или в один клик) для скрытой доставки программ для наблюдения на устройства Google Android и Apple iOS целей с целью сбора конфиденциальной информации.
Тем не менее, продолжающиеся усилия по борьбе со шпионской экосистемой и ее сдерживанию были чем-то вроде провала, что подчеркивает сложность борьбы с постоянными и менее известными игроками, которые предоставляют подобное кибероружие.
Это также распространяется на тот факт, что CSV продолжают прилагать усилия для разработки новых цепочек эксплойтов, поскольку такие компании, как Apple, Google и другие, обнаруживают и устраняют уязвимости нулевого дня.
Источник: Группа анализа угроз Google (TAG)
"Пока существует спрос на возможности наблюдения, у CSV будут стимулы продолжать разрабатывать и продавать инструменты, создавая отрасль, которая наносит вред пользователям с высоким уровнем риска и обществу в целом", - заявила группа анализа угроз Google (TAG).
В обширном отчете, опубликованном TAG на этой неделе, выяснилось, что компания отслеживает примерно 40 коммерческих компаний-шпионов, которые продают свои продукты государственным учреждениям, причем 11 из них связаны с использованием 74 программ нулевого дня в Google Chrome (24), Android (20), iOS (16), Windows (6), Adobe (2), Mozilla Firefox (1) за последнее десятилетие.
Например, неизвестные субъекты, спонсируемые государством, воспользовались тремя недостатками iOS (CVE-2023-28205, CVE-2023-28206 и CVE-2023-32409) в прошлом году в качестве нулевого дня для заражения жертв шпионским ПО, разработанным базирующейся в Барселоне компанией Variston. Недостатки были исправлены Apple в апреле и мае 2023 года.
Кампания, обнаруженная в марте 2023 года, предоставляла ссылку по SMS и была нацелена на iPhone, расположенные в Индонезии, под управлением iOS версий 16.3.0 и 16.3.1 с целью развертывания шпионского имплантата BridgeHead через Heliconia exploitation framework. Компания Variston также использовала в качестве оружия серьезный недостаток безопасности в чипах Qualcomm (CVE-2023-33063), о котором впервые стало известно в октябре 2023 года.
Ниже приведен полный список уязвимостей нулевого дня в Apple iOS и Google Chrome, которые были обнаружены в 2023 году и были связаны с конкретными поставщиками шпионского ПО:
"Фирмы частного сектора уже много лет занимаются обнаружением и продажей эксплойтов, но появление готовых шпионских решений - явление более новое", - сказал технический гигант.
"CSV обладают глубоким техническим опытом и предлагают инструменты "платной игры", которые объединяют в себе цепочку эксплойтов, предназначенных для обхода защиты выбранного устройства, шпионского ПО и необходимой инфраструктуры для сбора желаемых данных с устройства пользователя".
Инициатива, получившая название Pall Mall Process, направлена на борьбу с распространением и безответственным использованием коммерческих инструментов для кибервзломов путем установления руководящих принципов и вариантов политики для государств, промышленности и гражданского общества в отношении разработки, упрощения процедур, приобретения и использования таких инструментов.
В декларации говорится, что "неконтролируемое распространение" шпионских программ способствует "непреднамеренной эскалации в киберпространстве", отмечая, что это создает риски для киберстабильности, прав человека, национальной и цифровой безопасности.
"Там, где эти инструменты используются злонамеренно, атаки могут получить доступ к устройствам жертв, прослушивать звонки, получать фотографии и удаленно управлять камерой и микрофоном с помощью шпионского ПО "без щелчка", что означает отсутствие необходимости взаимодействия с пользователем", - говорится в пресс-релизе правительства Великобритании.
По данным Национального центра кибербезопасности (NCSC), по оценкам, ежегодно тысячи людей по всему миру становятся мишенями шпионских кампаний.
"И по мере роста коммерческого рынка этих инструментов будет расти и количество и серьезность кибератак, ставящих под угрозу наши устройства и наши цифровые системы, нанося все более дорогостоящий ущерб и делая как никогда сложной задачу нашей киберзащиты по защите государственных учреждений и услуг", - сказал заместитель премьер-министра Оливер Доуден на конференции по распространению киберпреступности между Великобританией и Францией.
Примечательно, что в списке стран, участвовавших в мероприятии, отсутствует Израиль, который является домом для ряда атакующих организаций частного сектора (PSOA) или коммерческих поставщиков систем видеонаблюдения (CSV), таких как Candiru, Intellexa (Cytrox), NSO Group и QuaDream.
В "Recorded Future News" сообщили, что Венгрия, Мексика, Испания и Таиланд, которые в прошлом были связаны со злоупотреблениями шпионским ПО, не подписали обязательство.
Акция с участием многих заинтересованных сторон совпадает с объявлением Государственного департамента США об отказе в выдаче виз лицам, которые, по его мнению, причастны к неправомерному использованию опасных шпионских технологий.
"До недавнего времени отсутствие подотчетности позволяло индустрии шпионского по распространять опасные инструменты наблюдения по всему миру", - говорится в заявлении Google, опубликованном в Hacker News. "Ограничение возможностей поставщиков шпионского ПО работать в США помогает изменить структуру стимулирования, которая позволила им продолжать рост".
С одной стороны, такие шпионские программы, как Chrysaor и Pegasus, лицензированы государственным заказчикам для использования в правоохранительных органах и борьбе с терроризмом. С другой стороны, они также регулярно подвергаются злоупотреблениям со стороны репрессивных режимов, направленных против журналистов, активистов, юристов, правозащитников, диссидентов, политических оппонентов и других членов гражданского общества.
Такие вторжения обычно используют эксплойты с нулевым щелчком мыши (или в один клик) для скрытой доставки программ для наблюдения на устройства Google Android и Apple iOS целей с целью сбора конфиденциальной информации.
Тем не менее, продолжающиеся усилия по борьбе со шпионской экосистемой и ее сдерживанию были чем-то вроде провала, что подчеркивает сложность борьбы с постоянными и менее известными игроками, которые предоставляют подобное кибероружие.
Это также распространяется на тот факт, что CSV продолжают прилагать усилия для разработки новых цепочек эксплойтов, поскольку такие компании, как Apple, Google и другие, обнаруживают и устраняют уязвимости нулевого дня.
Источник: Группа анализа угроз Google (TAG)
"Пока существует спрос на возможности наблюдения, у CSV будут стимулы продолжать разрабатывать и продавать инструменты, создавая отрасль, которая наносит вред пользователям с высоким уровнем риска и обществу в целом", - заявила группа анализа угроз Google (TAG).
В обширном отчете, опубликованном TAG на этой неделе, выяснилось, что компания отслеживает примерно 40 коммерческих компаний-шпионов, которые продают свои продукты государственным учреждениям, причем 11 из них связаны с использованием 74 программ нулевого дня в Google Chrome (24), Android (20), iOS (16), Windows (6), Adobe (2), Mozilla Firefox (1) за последнее десятилетие.
Например, неизвестные субъекты, спонсируемые государством, воспользовались тремя недостатками iOS (CVE-2023-28205, CVE-2023-28206 и CVE-2023-32409) в прошлом году в качестве нулевого дня для заражения жертв шпионским ПО, разработанным базирующейся в Барселоне компанией Variston. Недостатки были исправлены Apple в апреле и мае 2023 года.
Кампания, обнаруженная в марте 2023 года, предоставляла ссылку по SMS и была нацелена на iPhone, расположенные в Индонезии, под управлением iOS версий 16.3.0 и 16.3.1 с целью развертывания шпионского имплантата BridgeHead через Heliconia exploitation framework. Компания Variston также использовала в качестве оружия серьезный недостаток безопасности в чипах Qualcomm (CVE-2023-33063), о котором впервые стало известно в октябре 2023 года.
Ниже приведен полный список уязвимостей нулевого дня в Apple iOS и Google Chrome, которые были обнаружены в 2023 году и были связаны с конкретными поставщиками шпионского ПО:
| Эксплойт нулевого дня | Связанный поставщик шпионского ПО |
| CVE-2023-28205 и CVE-2023-28206 (Apple iOS) | Варистон (плацдарм) |
| CVE-2023-2033 (Google Chrome) | Intellexa/Cytrox (Predator) |
| CVE-2023-2136 (Google Chrome) | Intellexa/Cytrox (Predator) |
| CVE-2023-32409 (Apple iOS) | Варистон (плацдарм) |
| CVE-2023-3079 (Google Chrome) | Intellexa/Cytrox (Predator) |
| CVE-2023-41061 and CVE-2023-41064 (Apple iOS) | NSO Group (Pegasus) |
| CVE-2023-41991, CVE-2023-41992 и CVE-2023-41993 (Apple iOS) | Intellexa/Cytrox (Predator) |
| CVE-2023-5217 (Google Chrome) | Кандиру (DevilsTongue) |
| CVE-2023-4211 (графический процессор Arm Mali) | Cy4Gate (Epeius) |
| CVE-2023-33063 (графический процессор Qualcomm Adreno) | Варистон (плацдарм) |
| CVE-2023-33106 и CVE-2023-33107 (графический процессор Qualcomm Adreno) | Cy4Gate (Epeius) |
| CVE-2023-42916 и CVE-2023-42917 (Apple iOS) | PARS Defense |
| CVE-2023-7024 (Google Chrome) | Группа NSO (Pegasus) |
"Фирмы частного сектора уже много лет занимаются обнаружением и продажей эксплойтов, но появление готовых шпионских решений - явление более новое", - сказал технический гигант.
"CSV обладают глубоким техническим опытом и предлагают инструменты "платной игры", которые объединяют в себе цепочку эксплойтов, предназначенных для обхода защиты выбранного устройства, шпионского ПО и необходимой инфраструктуры для сбора желаемых данных с устройства пользователя".
