Beveiligingspatches worden vaak opgemerkt en gepatcht met software-updates voordat ze ooit een probleem veroorzaken. Sommige beveiligingsfouten worden echter actief uitgebuit door kwaadwillenden voordat ze worden ontdekt, en dit worden zero-day-kwetsbaarheden genoemd. Veel van de grootste technologiebedrijven hebben het afgelopen jaar last gehad van zero-days. Uit een rapport van Google’s Threat Analysis Group blijkt nu dat ruim zestig zero-days die deze vijf bedrijven treffen, afkomstig zijn van commerciële spywareleveranciers. Deze spywarebedrijven betalen hackers vaak voor werkende exploits en verkopen deze vervolgens voor grotere bedragen aan anderen.
Er zijn veel commerciële spywarebedrijven actief. De TAG van Google volgt er echter ongeveer 40. Hoewel het bedrijf niet al deze spywareverkopers noemde, noemde het wel de volgende elf leveranciers: Candiru, Cy4Gate, DSIRF, Intellexa, Negg, NSO Group, PARS Defense, QuaDream, RCS Lab, Variston en Wintego Systems.
Om te begrijpen hoe sterk commerciële spywarebedrijven zero-day-kwetsbaarheden veroorzaken, moet je naar deze cijfers kijken. Google zegt dat er in 2023 25 zero-days bekend waren die actief werden onderzocht. Binnen dat aantal waren 20 daarvan (ofwel 80%) afkomstig van spywareverkopers. De TAG van Google dateert uit 2016 en zegt dat meer dan 60 zero-days waarbij Apple, Adobe, Google, Microsoft en Mozilla betrokken waren, werden veroorzaakt door spywareleveranciers.
Bovendien is het belangrijk om te onthouden dat deze cijfers alleen de aanvallen vertegenwoordigen die we kennen. Het omvat niet de oplossingen waarvan we ons nog niet bewust zijn, of de oplossingen die deze leveranciers mogelijk zouden hebben uitgebuit als ze niet eerst waren gepatcht. Simpel gezegd: een klein aantal spywarebedrijven is verantwoordelijk voor de meeste beveiligingsproblemen. Google heeft een aantal specifieke zero-day-fouten in verband gebracht met spywarebedrijven. Zo werden drie kwetsbaarheden in Chrome gelinkt aan Intellexa.
Waarom de zero-day-spyware-ontdekkingen van Google ertoe doen
Zeggen dat deze spywareverkopers zich in troebel juridisch water bevinden, zou een understatement zijn. Velen van hen beweren dat zij binnen de wet handelen. Velen beweren zelfs samen te werken met wetshandhavers om hen te helpen met juridisch toezicht. Dit is echter niet de hele waarheid. Sommige van deze spywarebedrijven zijn betrapt op samenwerking met regeringen die politieke tegenstanders bespioneren voor persoonlijk gewin. Mogelijke doelwitten zijn onder meer overheidspersoneel, journalisten en demonstranten.
Het werk van Google bij de Threat Analysis Group is belangrijk omdat we vaak niet veel leren over zero-day-aanvallen. Omdat ze actief worden uitgebuit, geven bedrijven zo min mogelijk informatie over hen vrij om de schade te beperken. De informatie die wel wordt vrijgegeven, komt meestal vele maanden later. Nu weten we dat veel van deze zero-days afkomstig zijn van een select aantal bedrijven.
