Il team chiamato Threat Analysis Group (TAG) e finanziato direttamente dall’azienda di Mountain View, si occupa di proteggere gli utenti Google da attacchi informatici mirati, spesso disposti per volontà di alcuni enti statali con il preciso obiettivo di porre in essere attività di spionaggio e monitorare le attività di altri Paesi o di imprese di elevato profilo.
TAG tiene tuttavia sotto controllo anche i “movimenti” di decine di società che offrono ai governi e ad altre realtà statali strumenti di sorveglianza per spiare dissidenti, giornalisti e oppositori politici.
Gli esperti di TAG hanno fatto emergere un framework, chiamato Heliconia, che sfrutta codice exploit capace di prendere di mira tutta una serie di vulnerabilità insite nei browser Chrome, Firefox oltre che in Microsoft Defender, la soluzione antimalware integrata di default in Windows. Il framework sarebbe stato sviluppato da una società spagnola, una di quelle che TAG aveva “nel mirino”.
In un post pubblicato sul blog di Google, TAG “fa nomi e cognomi” puntando il dito contro Variston un’azienda che dichiara pubblicamente di fornire soluzioni per la sicurezza personalizzate sulle esigenze dei clienti ma che in realtà si spinge molto più avanti.
Il framework Heliconia è composto da più “moduli”, ciascuno capace di prendere di mira specifiche vulnerabilità presenti nel sistema.
Heliconia Noise, ad esempio, sfrutta un bug nel motore di rendering di Chrome e una lacuna che consente il cosiddetto sandbox escaping ovvero il superamento del perimetro tracciato dal browser Web. In questo modo il framework può disporre l’installazione e il caricamento di appositi agent nel dispositivo dell’utente.
Heliconia Files fa leva su una serie di exploit conosciuti per Firefox sfruttabili sia su Linux che su Windows; Heliconia Soft fa leva su un file PDF malevolo utilizzato per fare leva su una lacuna di Windows Defender.
Tutte le vulnerabilità sono state nel frattempo risolte da Google, Mozilla e Microsoft ma quanto accaduto dimostra ancora una volta come realtà specializzate confezionino tool “preconfezionati” per provocare l’esecuzione di codice arbitrario sui sistemi delle vittime.
A giugno 2022 TAG aveva scoperto una truffa ai danni degli utenti italiani che, con la collaborazione di alcuni operatori di telecomunicazioni compiacenti, mirava all’esecuzione di codice dannoso con una strategia drive-by download: nell’articolo pubblicato all’epoca abbiamo descritto come si concretizzava l’attacco agli utenti di Android e iOS.