Шпионское ПО обычно используется для мониторинга и сбора данных от пользователей из группы высокого риска, таких как журналисты, правозащитники, диссиденты и политики оппозиционных партий. Эти возможности увеличили спрос на шпионские технологии, открыв путь для прибыльной индустрии, используемой для продажи правительствам и гнусным субъектам возможности использовать уязвимости в потребительских устройствах. Хотя использование шпионского ПО обычно затрагивает лишь небольшое количество людей одновременно, его более широкое воздействие распространяется на все общество, способствуя растущие угрозы на свободу выражения мнений, свободу прессы и честность выборов во всем мире.

Чтобы пролить свет на индустрию шпионского ПО, группа анализа угроз Google (TAG) сегодня опубликовала Покупка шпионажа, подробный отчет с информацией о нашем поставщике коммерческого мониторинга (CSV)). TAG активно отслеживает около 40 CSV-файлов разного уровня сложности и публичности. В отчете описывается наше понимание того, кто участвует в разработке, продаже и внедрении шпионского ПО, как работают CSV, типы продуктов, которые они разрабатывают и продают, а также наш анализ недавней деятельности.

Главные находки

1. Хотя известные CSV-файлы привлекают внимание общественности и попадают в заголовки газет, существуют десятки других. которые менее заметны, но играют важную роль в развитии шпионского ПО.
2. Распространение шпионского ПО в формате CSV наносит реальный вред. Мы сотрудничаем с Google Головоломка чтобы выделить отзывы трех пользователей из группы высокого риска, которые рассказали о страхе, который они испытывали, когда эти инструменты были использованы против них, о сдерживающем влиянии на их профессиональные отношения и о своей решимости продолжать свою важную работу.
3. Если правительства когда-либо заявляли о своей монополии на самые передовые кибервозможности, то эти дни прошли. Сейчас частный сектор несет ответственность за значительную часть самых сложных инструментов, которые мы обнаруживаем.
4. CSV-файлы представляют угрозу для пользователей Google, и Google стремится противостоять этой угрозе и обеспечивать безопасность наших пользователей. Файлы CSV являются источником половины известных эксплойтов, нацеленных на продукты Google, а также устройства в экосистеме Android.

«Нулевая активность» и цепочка поставок шпионского ПО

Компании частного сектора уже много лет участвуют в обнаружении и продаже эксплойтов, но число готовых шпионских решений растет. CSV предлагают платные инструменты, объединяющие цепочку действий, предназначенную для обхода мер безопасности, а также шпионское ПО и необходимую инфраструктуру для сбора нужных данных от целевого пользователя. Четыре основные группы сочли выгодным работать вместе, что еще больше укрепит эту отрасль:

1. Исследователи уязвимостей и разработчики эксплойтов: В то время как некоторые исследователи уязвимостей предпочитают монетизировать свою работу, улучшая безопасность продуктов (например, участвуя в программах вознаграждения за обнаружение ошибок или работая в качестве защитников), другие используют свои знания для разработки и продажи эксплойтов брокерам или напрямую CSV.
2. Брокеры и поставщики кредитного плеча: Частные лица или компании, расположенные по всему миру и специализирующиеся на продаже эксплойтов клиентам, которыми часто, но не всегда, являются правительства.
3. Поставщики коммерческого мониторинга (CSV) или наступательные субъекты частного сектора (PSOA): Компании сосредоточились на разработке и продаже шпионского ПО как продукта, включая механизмы первоначальной доставки, эксплойты, инфраструктуру управления и контроля (C2) и инструменты для организации собранных данных.
4. Государственные заказчики: правительства, которые приобретают шпионское ПО через CSV и выбирают конкретные цели, разрабатывают кампании по распространению шпионского ПО, а затем контролируют внедрение шпионского ПО для сбора и получения данных с устройства своей цели.

Международные усилия по борьбе со шпионским ПО

Усилия по работе с населением дали толчок к принятию ответных мер международной политики. Сегодня мы присоединились к представителям промышленности, правительства и гражданского общества на конференции. Процесс Пэлла Мэлла: борьба с распространением и безответственным использованием коммерческих возможностей кибервторжений. Мероприятие было организовано совместно правительствами Франции и Великобритании и было направлено на достижение консенсуса и достижение прогресса в ограничении вреда от этой отрасли. Эти усилия основаны на предыдущих действиях правительства, в том числе принятые меры в прошлом году правительство США ограничило использование правительством шпионского ПО, а также совместная декларация одиннадцати правительств предпринимать аналогичные усилия. Мы надеемся, что за этими первыми шагами последуют более конкретные действия со стороны более широкого сообщества стран по реформированию отрасли и привлечению большего внимания к злоупотреблениям.

Нарушьте экосистему шпионского ПО, чтобы защитить пользователей

CSV-файлы получили широкое распространение, когда речь идет о хакерстве и шпионском ПО, ослабляя безопасность Интернета для всех. Вот почему мы обнаруживаем и устраняем уязвимости, используемые CSV, делимся стратегиями сбора данных и исправлениями с коллегами из отрасли, а также публично публикуем информацию о операциях, которые мы нарушаем. С ноября 2010 года мы также использовали нашу Программа вознаграждений за уязвимости (VRP) признать вклад исследователей в области безопасности, которые вкладывают свое время и навыки в обеспечение безопасности цифровой экосистемы. Кроме того, Google предлагает ряд инструментов, помогающих защитить пользователей из группы высокого риска от онлайн-угроз. Хотя эти меры помогают защитить пользователей и Интернет в целом, значительное сокращение этого рынка потребует коллективных действий и согласованных международных усилий.

Мы надеемся, что наш подробный анализ в CSV а рекомендуемые решения поддержат недавний импульс глобальных действий.

Особая благодарность Авроре Блюм из TAG за ее вклад в этот отчет.