Google punta il dito verso 8 governi, anche UE: "Hanno utilizzato falle e spyware"

Delle vulnerabilità in Google Chrome e Android sarebbero state vendute dalla società che le ha individuate o persino create a degli hacker ritenuti vicini a otto Governi. Lo afferma Google in un post sul suo blog in cui aggiorna la comunità sul lavoro di TAG, il Threat Analysis Group "che è alla continua ricerca di vulnerabilità zero days", chiamate così perché i malintenzionati le scoprono prima delle aziende che dovrebbero risolverle, quindi non lasciano nemmeno un giorno di tempo per rimediare - zero days, appunto.

In questa storia il condizionale è preferibile perché è la stessa Google ad ammettere tra le righe di non avere certezze incrollabili, solo - evidentemente - sospetti più che fondati tanto da consentirle di fare pubblicamente nomi e cognomi. Il protagonista in questione sarebbe Cytrox, società macedone che avrebbe venduto quattro vulnerabilità di Google Chrome e una di Android a malintenzionati con legami importanti, a tratti inquietanti.

A far parte del "pacchetto" anche lo spyware Predator di Cytrox, che sarebbe stato il mezzo per introdursi attraverso le falle e trafugare ogni cosa all'interno dei bagagli virtuali dei malcapitati.

Possiamo affermare con grande sicurezza che gli exploit in questione (codici identificativi nel post, link in FONTE, ndr) siano riconducibili ad un'unica società, Cytrox, e siano stati venduti a diversi attori sostenuti dai relativi governi che li hanno utilizzati in almeno tre operazioni - spiega il team del TAG di Google.

Si pensa che Cytrox abbia pure messo a disposizione dei suoi "importanti" clienti l'accesso ad alcune vulnerabilità n-days, per le quali cioè delle patch erano già disponibili al momento della vendita, ma che erano utili per prendere di mira quegli utenti che non le avevano installate. I clienti che avrebbero acquistato il pacchetto composto da vulnerabilità e spyware Predator, secondo il TAG, sarebbero in qualche maniera legati alle amministrazioni di:

• Spagna
• Grecia
• Serbia
• Egitto
• Armenia
• Indonesia
• Costa d'Avorio
• Madagascar

Google, attraverso il suo team di "cacciatori di taglie", è molto chiara nel perimetrare la storia:

Sette delle nove vulnerabilità zero days scoperte nel 2021 sono sviluppate da provider commerciali e poi vendute e utilizzate da attori sostenuti dai Governi.

Cytrox non è un nuove nuovo. Era stato fatto sul finire dello scorso anno da Meta a riguardo delle decine di migliaia di utenti dei social che erano stati spiati da società di sorveglianza. E nemmeno il coinvolgimento dei Governi è una novità in fatto di spyware e controllo dei cittadini: in molti ricorderanno lo scandalo di Pegasus di NSO Group, che venne definito lo spyware "politico" per il fatto di essere stato sguinzagliato per tenere d'occhio la stampa, attivisti e dissidenti.