Una empresa de Barcelona vendía software con malware oculto para atacar los PC de sus clientes
Volvemos con exploits de vulnerabilidades de seguridad de Google Chrome, Firefox y Windows Defender, por lo que la mayoría de usuarios podrían haber sido afectados por ellos. De hecho, llegaron a ser un exploit de vulnerabilidades día 0, las cuales se parchean rápidamente, pero no todas las personas actualizan al instante. La particularidad radica en que los culpables de estos exploits ha sido una empresa de informática española.
Raramente vemos casos donde varios programas importantes han experimentado una brecha de seguridad y se ha explotado esta para instalar malware. Sin embargo, ha ocurrido y tanto Google Chrome como Windows Defender o Firefox tenían riesgo de incluir spyware. Todo esto fue debido a exploits de vulnerabilidades de seguridad de dicho software y ahora sabemos quién ha sido el culpable.
Variston IT en Barcelona ha sido la culpable de los exploits
Los investigadores de Google Clement Lecigne y Benoit Sevens han descubierto que había una empresa de informática española detrás de los exploits de Chrome, Defender y Firefox. Esta empresa se llama Variston IT y se presenta como un proveedor de soluciones de seguridad ubicado en Barcelona y ofrece una gran diversidad de servicios. Por ejemplo, aporta tecnología para integradores de SCADA (control y supervisión de datos) o para IoT. También ofrece parches de seguridad personalizados para sistemas propietarios, herramientas para reconocimiento de datos, formación en seguridad o desarrollo de protocolos seguros en dispositivos integrados.
Todo esto es fachada, pues según el Grupo de Análisis de Amenazas de Google, Variston vende otro producto que no aparece en su página web. Este sería un framework de software que proporciona todo lo que el cliente necesita para instalar discretamente malware en los dispositivos que quiere espiar. Según los investigadores de Google, este framework o marco de trabajo se utilizó durante las vulnerabilidades día cero de los populares Chrome, Firefox y Defender. Esto significa que muchas personas podrían haber sido afectadas por software espía si no actualizaron con el respectivo parche en su día.
"El software de espionaje comercial pone capacidades de vigilancia avanzadas en manos de los gobiernos, que las utilizan para espiar a periodistas, activistas de derechos humanos, oposición política y disidentes", dijeron los investigadores de Google.
Los exploits afectaron a Google Chrome, Firefox y Windows Defender
Los investigadores de Google pudieron analizar los frameworks de software empleados gracias a una fuente anónima que los envió a través del programa de notificación de errores de Google Chrome. Estos llegaron con instrucciones y un archivo que contenía el código fuente. De los frameworks sabemos que tenían los nombres clave Heliconia Noise, Heliconia Soft y Files, los cuales implementaban exploits en Chrome, Defender y Firefox, respectivamente.
Adicionalmente, en el framework Heliconia Noise se incluía un código para eliminar los archivos binarios antes de que fueran producidos y así poder encubrir a los desarrolladores. Sin embargo, en la lista de "bad strings" se podía leer el nombre de Variston, junto a sus nombres propios de Dragon Ball como "Freezer", "Majinbuu" y "Janemba". Sobre los exploits de Google, Microsoft y Firefox, estos fueron parcheados en 2021 y 2022, aunque como dijimos podrían haber afectado a personas que no actualizaron en su momento.
Con Heliconia Noise se ofrecían varias opciones de configuración a gusto de los clientes. Por ejemplo, podían configurar el número máximo de veces que funcionaban los exploits, la fecha de caducidad o reglas que calificaban a los visitantes como víctimas válidas. Mientras tanto, Heliconia Soft incluía un PDF que explotaba el CVE-2021-42298, un fallo del motor JavaScript de Windows Defender que fue corregido en noviembre de 2021. Por último, con Files, se realizaba el exploit de la CVE-2022-26485 de Firefox, la cual se parcheó en marzo de 2022. No obstante, los investigadores creen que el exploit estaba activo desde 2019, años antes de que se parcheara.