Een coalitie van tientallen landen, waaronder Frankrijk, Groot-Brittannië en de VS, heeft samen met technologiebedrijven als Google, MDSec, Meta en Microsoft een gezamenlijke overeenkomst getekend om het misbruik van commerciële spyware om mensenrechtenschendingen te begaan te beteugelen.
Het initiatief, genaamd de Pall Mall-procesheeft tot doel de proliferatie en het onverantwoorde gebruik van commerciële cyberinbraakinstrumenten aan te pakken door leidende beginselen en beleidsopties vast te stellen voor staten, de industrie en het maatschappelijk middenveld met betrekking tot de ontwikkeling, facilitering, aankoop en gebruik van dergelijke instrumenten.
In de verklaring werd gesteld dat de “ongecontroleerde verspreiding” van spyware-aanbod bijdraagt aan “onbedoelde escalatie in cyberspace”, waarbij werd opgemerkt dat dit risico’s met zich meebrengt voor de cyberstabiliteit, de mensenrechten, de nationale veiligheid en de digitale veiligheid.
“Wanneer deze tools kwaadwillig worden gebruikt, kunnen aanvallen toegang krijgen tot de apparaten van slachtoffers, naar oproepen luisteren, foto’s verkrijgen en op afstand een camera en microfoon bedienen via ‘zero-click’ spyware, wat betekent dat er geen gebruikersinteractie nodig is”, aldus de Britse regering in een persbericht.
Volgens het National Cyber Security Center (NCSC) worden naar schatting jaarlijks duizenden individuen wereldwijd het doelwit van spywarecampagnes.
“En naarmate de commerciële markt voor deze tools groeit, zal ook het aantal en de ernst van cyberaanvallen die onze apparaten en onze digitale systemen in gevaar brengen, steeds duurdere schade veroorzaken en het voor onze cyberverdediging moeilijker dan ooit maken om openbare instellingen en diensten te beschermen. Dat zei vice-premier Oliver Dowden op de cyberproliferatieconferentie tussen Groot-Brittannië en Frankrijk.
Wat met name ontbreekt op de lijst van landen die aan het evenement hebben deelgenomen, is Israël, dat de thuisbasis is van een aantal offensieve actoren uit de particuliere sector (PSOA’s) of commerciële surveillanceleveranciers (CSV’s), zoals Candiru, Intellexa (Cytrox), NSO Group en QuaDream. .
Recorded Future News meldde dat Hongarije, Mexico, Spanje en Thailand – die in het verleden in verband zijn gebracht met spyware-misbruik – de belofte niet hebben ondertekend.
De actie waarbij meerdere belanghebbenden betrokken zijn, valt samen met een aankondiging van het Amerikaanse ministerie van Buitenlandse Zaken om visa te weigeren aan personen die volgens het ministerie betrokken zijn bij het misbruik van gevaarlijke spywaretechnologie.
“Tot voor kort heeft een gebrek aan verantwoordelijkheid de spyware-industrie in staat gesteld gevaarlijke surveillancetools over de hele wereld te verspreiden”, aldus Google in een verklaring gedeeld met The Hacker News. “Het beperken van de mogelijkheden van spywareleveranciers om in de VS actief te zijn, helpt de stimuleringsstructuur te veranderen die hun voortdurende groei mogelijk heeft gemaakt.”
Aan de ene kant worden spyware zoals Chrysaor en Pegasus in licentie gegeven aan overheidsklanten voor gebruik bij wetshandhaving en terrorismebestrijding. Aan de andere kant worden ze ook routinematig misbruikt door onderdrukkende regimes om journalisten, activisten, advocaten, mensenrechtenverdedigers, dissidenten, politieke tegenstanders en andere leden van het maatschappelijk middenveld aan te vallen.
Dergelijke inbraken maken doorgaans gebruik van zero-click (of one-click) exploits om de surveillanceware heimelijk op de Google Android- en Apple iOS-apparaten van de doelwitten af te leveren met als doel gevoelige informatie te verzamelen.
Dat gezegd hebbende, zijn de voortdurende inspanningen om het spyware-ecosysteem te bestrijden en in bedwang te houden nogal een klap geweest, wat de uitdaging onderstreept van het afweren van terugkerende en minder bekende spelers die soortgelijke cyberwapens leveren of bedenken.
Dit strekt zich ook uit tot het feit dat CSV’s moeite blijven doen om nieuwe exploitketens te ontwikkelen, terwijl bedrijven als Apple, Google en anderen de zero-day-kwetsbaarheden ontdekken en dichten.
“Zolang er vraag is naar surveillancemogelijkheden, zullen er prikkels zijn voor CSV’s om door te gaan met het ontwikkelen en verkopen van tools, waardoor een industrie ontstaat die gebruikers met een hoog risico en de samenleving als geheel schaadt”, aldus de Threat Analysis Group (TAG) van Google.
Uit een uitgebreid rapport dat deze week door TAG werd gepubliceerd, bleek dat het bedrijf ongeveer veertig commerciële spywarebedrijven volgt die hun producten aan overheidsinstanties verkopen, waarvan er elf verband houden met de exploitatie van 74 zero-days in Google Chrome (24), Android (20 ), iOS (16), Windows (6), Adobe (2), Mozilla Firefox (1) in de afgelopen tien jaar.
Onbekende, door de staat gesponsorde actoren hebben vorig jaar bijvoorbeeld als zero-day drie fouten in iOS (CVE-2023-28205, CVE-2023-28206 en CVE-2023-32409) uitgebuit om slachtoffers te infecteren met spyware ontwikkeld door Barcelona. gebaseerde Variston. De fouten zijn in april en mei 2023 door Apple verholpen.
De campagne, ontdekt in maart 2023, leverde een link via sms op en richtte zich op iPhones in Indonesië met iOS-versies 16.3.0 en 16.3.1 met als doel het BridgeHead-spyware-implantaat in te zetten via het Heliconia-exploitatieframework. Ook door Variston bewapend is een zeer ernstige tekortkoming in de beveiliging van Qualcomm-chips (CVE-2023-33063) die voor het eerst aan het licht kwam in oktober 2023.
De volledige lijst met zero-day-kwetsbaarheden in Apple iOS en Google Chrome die in 2023 zijn ontdekt en in verband zijn gebracht met specifieke spywareleveranciers is als volgt:
“Bedrijven uit de particuliere sector zijn al vele jaren betrokken bij het ontdekken en verkopen van exploits, maar de opkomst van kant-en-klare spionageoplossingen is een nieuwer fenomeen”, aldus de technologiegigant.
“CSV’s werken met diepgaande technische expertise om ‘pay-to-play’-tools aan te bieden die een exploitketen bundelen die is ontworpen om voorbij de verdediging van een geselecteerd apparaat, de spyware en de noodzakelijke infrastructuur te komen, allemaal om de gewenste gegevens van iemands persoonlijke identiteit te verzamelen. apparaat.”
