Gli PSOA come RCS Lab stanno accumulando segretamente vulnerabilità zero-day

Gli strumenti della società italiana RCS Lab sono stati utilizzati per spiare utenti di Apple e Android in Italia e Kazakistan, hanno affermato gli esperti di Google, come avevamo riportato in precedenza. 

Inoltre, il venditore di spyware italiano avrebbe ricevuto aiuto da alcuni ISP per infettare i dispositivi degli utenti.

Secondo gli analisti di Google TAG, RCS Labs è solo uno dei 30 fornitori di spyware, ovvero i Public Sector Offensive Actor (PSOA). 

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Questa società milanese afferma di essere operativa dal 1993 e da più di vent’anni fornisce

“alle forze dell’Ordine di tutto il mondo soluzioni tecnologiche all’avanguardia e supporto tecnico nel campo dell’intercettazione legale. Società indipendente con sede in Italia e filiali in Francia e Spagna, RCS è il principale fornitore europeo di servizi completi di intercettazione legale, con oltre 10.000 bersagli intercettati gestiti quotidianamente nella sola Europa”.

I ricercatori scrivono che durante gli attacchi drive-by, utilizzati per infettare i dispositivi di diverse vittime, agli utenti è stato chiesto di installare applicazioni dannose (comprese quelle mascherate da applicazioni legittime di operatori mobili), apparentemente per tornare online dopo che la connessione a Internet era stata interrotta. Interrotta da parte dei provider.

“Riteniamo che in alcuni casi gli aggressori abbiano collaborato con gli ISP della vittima per disabilitare la loro connessione dati mobile”, afferma il rapporto. “Dopo la disconnessione, l’attaccante ha inviato un collegamento dannoso tramite SMS con la richiesta di installare un’applicazione per ripristinare la connessione”.

Gli analisti scrivono che le applicazioni dannose distribuite sui dispositivi delle vittime non erano disponibili tramite l’Apple App Store o i Google Play Store. Tuttavia, gli aggressori hanno offerto malware per iOS (firmato con un certificato aziendale) e hanno chiesto alle vittime di consentire l’installazione di app da fonti sconosciute.

L’app iOS vista in questi attacchi aveva sei exploit integrati che consentivano l’escalation dei privilegi su un dispositivo compromesso e il furto di file:

• CVE-2018-4344 nota come LightSpeed;
• CVE-2019-8605 nota come SockPuppet (il nome interno di Google è SockPort2);
• CVE-2020-3837 nota come LightSpeed;
• CVE-2020-9907 Il nome del bug interno di Google è AveCesare;
• CVE-2021-30883 Nome bug interno di Google Clicked2, sfruttato da ottobre 2021;
• CVE-2021-30983 Il nome del bug interno di Google è Clicked3, corretto da Apple nel dicembre 2021.

“Tutti gli exploit sono apparsi prima del 2021 e si basavano su exploit disponibili pubblicamente scritti da varie comunità di jailbreak. Al momento della scoperta degli attacchi, solo la CVE-2021-30883 e la CVE-2021-30983 potevano essere ritenuti come exploit zero-day”

affermano gli esperti.

Per quanto riguarda l’app Android dannosa, è stata fornita senza exploit. Allo stesso tempo, il malware disponeva di funzionalità che consentivano di caricare ed eseguire moduli aggiuntivi utilizzando l’API DexClassLoader.

Google afferma di aver già informato i proprietari di dispositivi Android che i loro dispositivi sono stati compromessi e infettati da spyware. L’azienda ha inoltre disabilitato i progetti Firebase utilizzati dagli aggressori per configurare l’infrastruttura di gestione della campagna.

Hermit, è stato studiato in dettaglio dagli esperti della società di sicurezza Lookout, che la scorsa settimana ha pubblicato un rapporto sulle minacce. Secondo loro, Hermit è uno “spyware modulare” che

“abusa dei servizi di accessibilità, può registrare audio, effettuare e reindirizzare chiamate telefoniche, raccogliere e rubare dati come registri delle chiamate, contatti, foto, posizione del dispositivo e messaggi SMS”.

I ricercatori hanno notato che la modularità di Hermit ne consente la personalizzazione per ogni specifica vittima, ampliando o modificando la funzionalità dello spyware a seconda delle esigenze del cliente. Allo stesso tempo, purtroppo, non è stato possibile capire chi fosse il target della campagna rilevata, e quale dei clienti di RCS Lab fosse ad essa associato.

È interessante notare che, secondo Google TAG, sette delle nove vulnerabilità zero-day scoperte nel 2021 sono state sviluppate da fornitori di spyware e vulnerabilità commerciali e quindi vendute a terze parti e sfruttate da hacker governativi.

“Hermit è un altro esempio di arma digitale che viene utilizzata per attaccare i civili e i loro dispositivi mobili, e i dati raccolti dagli aggressori sono sicuramente inestimabili”

commentano gli esperti di Zimperium sui resoconti dei loro colleghi.

Google TAG esprime preoccupazione per il fatto che aziende come RCS Lab stiano “accumulando segretamente vulnerabilità zero-day”, il che pone seri rischi dato che numerosi fornitori di spyware sono stati compromessi nell’ultimo decennio. 

Gli esperti temono che prima o poi le “riserve” di tali società “potrebbero essere rese pubbliche senza preavviso” e finire in mano ai criminali informatici e creare dei danni gravissimi.

Ti è piaciutno questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.