Uma coalizão de dezenas de países, incluindo França, Reino Unido e Estados Unidos, juntamente com empresas de tecnologia como Google, MDSec, Meta e Microsoft, assinaram um acordo conjunto para conter o abuso de spyware comercial para cometer violações dos direitos humanos.
A iniciativa, apelidada de Processo Pall Mall, visa enfrentar a proliferação e o uso irresponsável de ferramentas de intrusão cibernética comercial estabelecendo princípios orientadores e opções de política para Estados, indústria e sociedade civil em relação ao desenvolvimento, facilitação, compra e uso dessas ferramentas.
A declaração afirmava que a "disseminação descontrolada" das ofertas de spyware contribui para a "escalada não intencional no ciberespaço", observando que ela apresenta riscos à estabilidade cibernética, aos direitos humanos, à segurança nacional e à segurança digital.
"Quando essas ferramentas são usadas de forma maliciosa, os ataques podem acessar os dispositivos das vítimas, ouvir chamadas, obter fotos e operar remotamente uma câmera e microfone por meio de 'zero-click' spyware, ou seja, nenhuma interação do usuário é necessária", disse o governo do Reino Unido em um comunicado à imprensa.
De acordo com o Centro Nacional de Segurança Cibernética (NCSC), estima-se que milhares de indivíduos sejam alvo de campanhas de spyware todos os anos em todo o mundo.
"E à medida que o mercado comercial para essas ferramentas cresce, também aumentará o número e a gravidade dos ataques cibernéticos comprometendo nossos dispositivos e nossos sistemas digitais, causando danos cada vez mais caros e tornando mais desafiador do que nunca para nossas defesas cibernéticas protegerem instituições públicas e serviços", disse o Vice-Primeiro Ministro Oliver Dowden na Conferência de Proliferação Cibernética França-Reino Unido.
Notavelmente ausente da lista de países que participaram do evento está Israel, que abriga um número de atores ofensivos do setor privado (PSOAs) ou fornecedores de vigilância comercial (CSVs) como Candiru, Intellexa (Cytrox), NSO Group e QuaDream.
O Recorded Future News reportou que Hungria, México, Espanha e Tailândia - que foram vinculados a abusos de spyware no passado - não assinaram o compromisso.
A ação multissetorial coincide com um anúncio do Departamento de Estado dos EUA de negar vistos para indivíduos que considera estarem envolvidos no uso indevido de tecnologia de spyware perigosa.
"Até recentemente, a falta de responsabilidade permitiu que a indústria de spyware proliferasse ferramentas de vigilância perigosas em todo o mundo", disse o Google em uma declaração compartilhada com o The Hacker News.
"Limitar a capacidade dos fornecedores de spyware de operar nos EUA ajuda a mudar a estrutura de incentivos que permitiu seu crescimento contínuo".
Por um lado, spywares como Chrysaor e Pegasus são licenciados para clientes governamentais para uso em aplicação da lei e contraterrorismo.
Por outro lado, eles também foram rotineiramente abusados por regimes opressores para atingir jornalistas, ativistas, advogados, defensores dos direitos humanos, dissidentes, oponentes políticos e outros membros da sociedade civil.
Essas intrusões normalmente se aproveitam de exploits de zero cliques (ou um clique) para entregar o surveillanceware de maneira furtiva nos dispositivos Android do Google e Apple iOS dos alvos com o objetivo de colher informações sensíveis.
Dito isto, os esforços contínuos para combater e conter o ecossistema de spyware têm sido algo como um jogo de gato e rato, destacando o desafio de afastar os atores recorrentes e menos conhecidos que fornecem ou criam armas cibernéticas similares.
Isto também se estende ao fato de que os CSVs continuam a gastar esforços desenvolvendo novas cadeias de exploits à medida que empresas como Apple, Google e outras descobrem e corrigem as vulnerabilidades de dia zero.
"Enquanto houver demanda por capacidades de vigilância, haverá incentivos para os CSVs continuarem desenvolvendo e vendendo ferramentas, perpetuando uma indústria que prejudica usuários de alto risco e a sociedade em geral", disse o Grupo de Análise de Ameaças (TAG) do Google.
Um relatório extenso publicado pelo TAG nesta semana revelou que a empresa está rastreando cerca de 40 empresas comerciais de spyware que vendem seus produtos para agências governamentais, com 11 delas vinculadas à exploração de 74 vulnerabilidades de dia zero no Google Chrome (24), Android (20), iOS (16), Windows (6), Adobe (2) e Mozilla Firefox (1).
Atuadores patrocinados por Estados desconhecidos, por exemplo, exploraram três falhas no iOS (
CVE-2023-28205
,
CVE-2023-28206
e
CVE-2023-32409
) como um dia zero no ano passado para infectar as vítimas com o spyware desenvolvido pela Variston baseada em Barcelona.
As falhas foram corrigidas pela Apple em abril e maio de 2023.
A campanha, descoberta em março de 2023, entregou um link por SMS e visava iPhones localizados na Indonésia rodando as versões iOS 16.3.0 e 16.3.1 com o objetivo de implantar o spyware BridgeHead por meio do framework de exploração Heliconia.
A weaponização da Variston é uma falha de segurança de alta gravidade nos chips Qualcomm (CVE-2023-33063) que foi revelada pela primeira vez em outubro de 2023.
A lista completa de vulnerabilidades de dia zero no Apple iOS e Google Chrome descobertas em 2023 e vinculadas a fornecedores específicos de spyware é a seguinte:
| Zero-day Exploit | Associated Spyware Vendor |
| --- | --- |
|
CVE-2023-28205
e
CVE-2023-28206
(Apple iOS) | Variston (BridgeHead) |
|
CVE-2023-2033
(Google Chrome) | Intellexa/Cytrox (Predator) |
|
CVE-2023-2136
(Google Chrome) | Intellexa/Cytrox (Predator) |
|
CVE-2023-32409
(Apple iOS) | Variston (BridgeHead) |
|
CVE-2023-3079
(Google Chrome) | Intellexa/Cytrox (Predator) |
|
CVE-2023-41061
e
CVE-2023-41064
(Apple iOS) | NSO Group (Pegasus) |
|
CVE-2023-41991
,
CVE-2023-41992
e
CVE-2023-41993
(Apple iOS) | Intellexa/Cytrox (Predator) |
|
CVE-2023-5217
(Google Chrome) | Candiru (DevilsTongue) |
|
CVE-2023-4211
(GPU Arm Mali) | Cy4Gate (Epeius) |
| CVE-2023-33063 (GPU Qualcomm Adreno) | Variston (BridgeHead) |
| CVE-2023-33106 e CVE-2023-33107 (GPU Qualcomm Adreno) | Cy4Gate (Epeius) |
|
CVE-2023-42916
e
CVE-2023-42917
(Apple iOS) | PARS Defense |
| CVE-2023-7024 (Google Chrome) | NSO Group (Pegasus) |
"Empresas do setor privado têm estado envolvidas na descoberta e venda de exploits há muitos anos, mas o aumento das soluções de espionagem prontas para uso é um fenômeno mais recente", disse a gigante de tecnologia.
"Os CSVs operam com profundo conhecimento técnico para oferecer ferramentas 'pay-to-play' que agrupam uma cadeia de exploração projetada para passar pelas defesas de um dispositivo selecionado, o spyware e a infraestrutura necessária, tudo para coletar os dados desejados do dispositivo de um indivíduo."
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...