구글 보안 보고서, 상업용 스파이웨어에 사용된 60개 이상의 0day 공개

보고서 공개

보안 보고서에서 Google은 2016년 이후 Apple, Adobe, Google, Microsoft 및 Mozilla 제품에 대한 60건 이상의 유출 사례를 공개했습니다.제로데이 익스플로잇상업적 사용스파이웨어여러 상용 스파이웨어 서비스 제공업체와 관련이 있습니다.

스파이웨어 공급업체

이 보안 보고서는 정부가 디바이스에 스파이웨어를 설치하도록 돕는 스파이웨어 서비스 제공업체의 운영에 대한 심층적인 분석을 제공합니다. 이러한 상업적스파이웨어 공급업체자신들의 제품과 서비스가 합법적인 감시, 주로 법 집행 목적으로만 사용된다고 주장하지만, 수많은 조사 결과 정치적 반대자, 언론인, 반체제 인사, 인권 옹호자 등을 상대로 사용되었다는 사실이 밝혀졌습니다.

상업용 스파이웨어 공급업체는 기기, 특히 Android 및 iOS를 실행하는 휴대폰을 완벽하게 제어할 수 있는 익스플로잇에 대해 수백만 달러를 지불할 준비가 되어 있지만, 이러한 업체는 개인 고객으로부터도 수백만 달러를 벌고 있습니다. 고객은 스파이웨어 자체뿐만 아니라 초기 전달 메커니즘과 필요한 익스플로잇 프로그램, 명령 및 제어 인프라, 손상된 디바이스에서 훔친 데이터를 수집하는 도구도 얻게 됩니다.

Google의 위협 분석 그룹(TAG)은 현재 익스플로잇과 멀웨어를 개발하여 정부에 판매하는 약 40개의 상업용 스파이웨어 공급업체를 추적하고 있습니다.

구글은 최신 보고서에서 Candiru, Cy4Gate, DSIRF, 인텔렉사, 네그, NSO 그룹, PARS 디펜스, 쿼드림, RCS 랩, 베리스톤, 윈테고 시스템즈 등 11개 벤더를 나열했습니다.

2016년 이후 60개 이상의 고유한 Android, Chrome, iOS/macOS, WhatsApp 및 Firefox 제로데이 취약점이 발견되었습니다. 이 목록에는 스파이웨어 공급업체가 악용하는 것으로 관찰된 알려진(NDAY) 보안 취약점은 포함되지 않았습니다.

2023년에 TAG가 발견한 25개의 악용된 취약점 중 20개는 스파이웨어 공급업체가 악용한 것입니다. 또한 2014년 중반 이후 Google 제품에서 악용된 72개의 제로데이 취약점 중 35개가 이 업체들에 의해 악용되었습니다.

보안 보고서에는 발견된 취약점만 명시되어 있습니다. 아직 발견되지 않았거나 스파이웨어 공급업체와 아직 연결되지 않은 취약점이 있기 때문에 실제 악용된 취약점의 수는 더 많을 수 있습니다.

재무적 관점

스파이웨어 공급업체는 디바이스를 완벽하게 제어할 수 있는 익스플로잇에 수백만 달러를 기꺼이 지불합니다. 또한 이들은 전달 메커니즘, 취약점, 명령 및 제어 인프라, 데이터 탈취 도구를 포함한 서비스를 제공하여 개별 고객으로부터 높은 수익을 창출할 수 있습니다.

보고서 추적기

Google의 위협 분석 그룹(TAG)은 정부 고객을 대상으로 스파이 도구를 개발 및 판매하는 약 40개의 공급업체를 추적하고 있습니다.

구글은 보고서에서 Candiru, Cy4Gate, DSIRF, 인텔렉사, 네그, NSO 그룹, PARS 디펜스, 쿼드림, RCS 랩, 베리스톤 및 윈테고 시스템 등 여러 스파이웨어 공급업체를 언급합니다.

취약성 귀속

2016년 이후 발견된 60개 이상의 고유한 제로데이 취약점이 위 공급업체와 관련된 것으로 확인되었습니다.

2023년 검토

2023년에 TAG가 확인한 제로데이 취약점 25개 중 20개는 스파이웨어 공급업체가 악용한 것으로 추정됩니다. 2014년 중반 이후 Google 제품을 대상으로 한 72개의 제로데이 취약점 중 35개는 이러한 업체와 관련이 있습니다.

일반적인 경우

예를 들어, 애플이 2023년 4월에 서둘러 패치를 배포한 iOS 제로데이 취약점 CVE-2023-28205 및 CVE-2023-28206과 5월에 패치가 배포된 CVE-2023-32409는 스페인 회사 Variston이 악용했습니다. 안드로이드 취약점 CVE-2023-33063의 익스플로잇도 동일한 스파이웨어 공급업체와 연관되어 있습니다.

Apple은 최근 터키 회사 PARS Defence가 두 가지 iOS 취약점인 CVE-2023-42916 및 CVE-2023-42917을 악용했다고 경고했습니다.

4월에 Google에서 수정한 Chrome 취약점 CVE-2023-2033 및 CVE-2023-2136과 6월에 해결된 CVE-2023-3079는 Intellexa에 기인합니다.

CVE-2023-7024는 2023년에 수정된 Chrome의 8번째 제로데이 취약점이며, 현재 NSO 그룹이 원인을 제공하고 있습니다.

구글은 9월에 CVE-2023-5217을 수정하면서 스파이웨어 공급업체가 이 Chrome 취약점을 악용했다고 경고했지만, 해당 업체의 이름은 밝히지 않았습니다. 새로운 보고서에 따르면 이 스파이웨어 공급업체는 이스라엘에 본사를 둔 Candiru입니다.

CVE-2023-4211, CVE-2023-33106, CVE-2023-33107 안드로이드 취약점은 이탈리아 회사 Cy4Gate의 소행으로 추정됩니다.

보안 패치

Google과 Apple은 제로데이 취약점을 패치할 때 고객에게 해당 취약점이 악용되고 있다는 사실을 게시판을 통해 알리지만 공격이나 공격자에 대한 정보는 제공하지 않습니다. Google의 최신 보고서에서는 이러한 제로데이 취약점 중 몇 가지를 특정 스파이웨어 공급업체와 처음으로 연결했습니다.