Google обвинила испанскую Variston IT в использовании уязвимости в Chrome, Firefox и Windows для распространения шпионского ПО

Испанская компания, которая утверждает, что предоставляет индивидуальные решения для информационной безопасности, оказалась связана с тремя инфраструктурами эксплуатации. По словам исследователей безопасности Google, компания использовала несколько уязвимостей нулевого дня в браузерах Microsoft Defender, Chrome и Firefox для установки шпионского ПО.

Согласно сообщению в блоге технологического гиганта Google, платформа Heliconia компании Variston IT из Барселоны предоставила инструменты, необходимые для развёртывания полезной нагрузки на целевом устройстве. Группа анализа угроз Google (TAG) сообщает, что уязвимости в Chrome, Microsoft и Firefox были исправлены в 2021 и начале 2022 года.

Команда TAG отмечает, что узнала о фреймворке Heliconia, когда Google получила анонимное сообщение, в котором упоминались три ошибки.

«Они использовали уникальные имена в отчетах об ошибках, включая «Heliconia Noise», «Heliconia Soft» и «Files». TAG проанализировала представленные материалы и обнаружила, что они содержат фреймворки для развёртывания эксплойтов в дикой природе, а скрипт в исходном коде содержит подсказки, указывающие на возможного разработчика фреймворков для эксплойтов, Variston IT.

Google утверждает, что коммерческое шпионское ПО, такое как шпионское ПО Pegasus от NSO Group, даёт расширенные возможности наблюдения правительствам, «которые используют их для слежки за журналистами, правозащитниками, политической оппозицией и диссидентами». Фреймворк Heliconia также мог использоваться для такой деятельности, однако информации об этом пока нет.

Согласно исследованию TAG, в мире наблюдается распространение коммерческого наблюдения, и поставщики коммерческого шпионского ПО теперь разработали возможности, которые ранее были доступны только правительствам с глубокими карманами и техническими знаниями.