Linux Zero-Day ที่รู้จักกันมานานด้วยความช่วยเหลือจาก Google เพิ่งได้รับการแก้ไข

รูปภาพของบทความชื่อ Linux Zero-Day ได้รับการแก้ไขในที่สุดหลังจากไม่มีการดำเนินการใด ๆ เป็นเวลาครึ่งปีด้วยความช่วยเหลือของ Google

รูปถ่าย: จัสติน ซัลลิแวน (เก็ตตี้อิมเมจ)

วันนี้ Threat Analysis Group ของ Google ได้เปิดเผยรายละเอียดใหม่เกี่ยวกับความพยายามในการระบุและแก้ไขช่องโหว่ Zero-day ที่ส่งผลต่ออุปกรณ์ Android ที่สร้างโดยผู้ให้บริการเฝ้าระวังเชิงพาณิชย์ย้อนหลังไปถึงอย่างน้อยปี 2016 การศึกษาได้นำเสนอในการประชุม Black Hat Cybersecurity Conference ในเมืองลาส ลาสเวกัสแสดงถึงความพยายามครั้งล่าสุดในการสนับสนุนความพยายามของ Google ในการตอบโต้อุตสาหกรรมการเฝ้าระวังส่วนบุคคลที่กำลังเติบโตตามที่นักวิจัยกล่าว

จุดอ่อนในประเด็นที่เรียกว่า CVE-2021-0920 คือ ซีโร่เดย์ การใช้ประโยชน์จากกลไกการรวบรวมขยะ “อย่างป่าเถื่อน” ภายในเคอร์เนล Linux ซึ่งเป็นซอฟต์แวร์หลักที่ควบคุมระบบปฏิบัติการ Linux ทั้งหมด Google กล่าวว่าผู้โจมตีที่ใช้ Exploit Chain ที่มีช่องโหว่สามารถควบคุมอุปกรณ์ของผู้ใช้จากระยะไกลได้

ก่อนหน้านี้ Google ได้ระบุว่าได้เรียกใช้ช่องโหว่ของ Android Zero-day กับนักพัฒนาซอฟต์แวร์ที่อยู่เบื้องหลัง CVE-2021-0920 ในกรณีนี้ โฆษกของ Google บอกกับ Gizmodo ว่าผู้จำหน่ายการเฝ้าระวังใช้ “เทคนิคการหาประโยชน์ใหม่และมองไม่เห็นหลายอย่างเพื่อหลีกเลี่ยงการบรรเทาการป้องกันที่มีอยู่” โฆษกกล่าวว่ามันแสดงให้เห็นว่าผู้ขายกำลังระดมทุนเพียงพอ

ช่องโหว่ CVE-2021-0920 ได้รับการแก้ไขเมื่อเดือนกันยายนปีที่แล้วเพื่อตอบสนองต่อการวิจัยโดย Google แต่มีการระบุช่องโหว่ก่อนปี 2016 และรายงานในรายชื่อผู้รับจดหมายของ Linux kernel มีแพตช์ที่เหมาะสมในขณะนั้น แต่นักพัฒนา Linux Foundation ปฏิเสธในที่สุด Google ได้แชร์เธรดอีเมลเคอร์เนลสาธารณะของ Linux โดยมีข้อขัดแย้งว่าจะใช้โปรแกรมแก้ไขหรือไม่

ดังที่นักพัฒนารายหนึ่งเขียนไว้ว่า “สาเหตุของการใช้แพตช์ที่เป็น RFC คือการขาดข้อความยืนยันที่เหมาะสม ไม่มีการลงชื่อออกที่เหมาะสม และการขาด ACK และคำติชมของนักพัฒนาที่มีความรู้อื่นๆ”

ตอบโจทย์วัยทำงาน

Google ได้เพิ่มความพยายามในการค้นหาและระบุกลุ่มสปายแวร์ต่อสาธารณะในช่วงไม่กี่ปีที่ผ่านมา ส่วนหนึ่งจากจำนวนการโจมตีที่เพิ่มขึ้น ใน คำสารภาพ ในรายงานที่ส่งไปยัง House Intelligence Committee เมื่อต้นปีนี้ Shane Huntley ผู้อำนวยการกลุ่มวิเคราะห์ภัยคุกคามของ Google กล่าวว่า “การเติบโตของผู้จำหน่ายสปายแวร์เชิงพาณิชย์และกลุ่มแฮ็กเกอร์ทำให้ TAG เติบโตขึ้น [threat analyses groups] เพื่อตอบโต้ภัยคุกคามเหล่านี้”

Huntley กล่าวว่าผลการวิจัยล่าสุดของทีมงานของเขาชี้ให้เห็นถึงบริษัทสปายแวร์เชิงพาณิชย์ระดับไฮเอนด์ในอิสราเอล กลุ่ม สปสช.ประสบความสำเร็จในการได้มาซึ่งความสามารถในการแฮ็กที่ครั้งหนึ่งเคยสงวนไว้สำหรับหน่วยงานข่าวกรองที่ทันสมัยที่สุดในโลกที่ได้รับการสนับสนุนจากรัฐ การใช้เทคโนโลยีเหล่านี้ ซึ่งอาจรวมถึงการใช้ประโยชน์จากการคลิกแบบไม่มีศูนย์เพื่อเข้าควบคุมอุปกรณ์โดยที่ผู้ใช้ไม่มีส่วนร่วมในเนื้อหาที่เป็นอันตราย ดูเหมือนจะเพิ่มขึ้น และกำลังดำเนินการตามคำขอของรัฐบาล Huntley แนะนำ การหาประโยชน์แบบซีโร่เดย์เจ็ดจากเก้าครั้งที่ทีมของ Huntley ค้นพบเมื่อปีที่แล้วนั้น เป็นที่ทราบกันดีว่าได้รับการพัฒนาโดยซัพพลายเออร์เชิงพาณิชย์และขายให้กับนักแสดงที่ได้รับการสนับสนุนจากรัฐ เทคโนโลยีการเฝ้าระวังทางเทคนิคขั้นสูงที่ครั้งหนึ่งเคยมีเฉพาะในบางประเทศเท่านั้น ในปัจจุบันมีให้เฉพาะผู้เสนอราคาสูงสุดเท่านั้น

Huntley กล่าวว่า “ผู้ขายเหล่านี้สามารถแพร่กระจายเครื่องมือแฮ็คที่เป็นอันตรายและติดอาวุธนักแสดงระดับชาติที่ไม่สามารถพัฒนาความสามารถเหล่านี้ได้ภายในองค์กร “การใช้เทคโนโลยีการสอดแนมอาจถูกกฎหมายภายใต้กฎหมายระดับประเทศหรือกฎหมายระหว่างประเทศ แต่พบว่าผู้มีบทบาทของรัฐบางคนใช้เทคโนโลยีดังกล่าวเพื่อจุดประสงค์ที่ขัดต่อค่านิยมประชาธิปไตย กำหนดเป้าหมายไปยังผู้เห็นต่าง นักข่าว นักเคลื่อนไหวด้านสิทธิมนุษยชน และนักการเมืองฝ่ายค้าน”

“อุตสาหกรรมนี้ดูเหมือนจะเฟื่องฟู” ฮันท์ลีย์กล่าว

Lucas Ropek มีส่วนร่วมในรายงาน