Il Threat Analysis Group (TAG) di Google ha pubblicato un report che descrive in dettaglio le attività di 40 aziende che vendono spyware commerciali. Questi tool, usati da governi e cybercriminali, hanno sfruttato l’80% delle vulnerabilità zero-day scoperte nel 2023. Tra i più noti CSV (Commercial Spyware Vendor) c’è ovviamente NSO Group.
Il business dei bug 0-day
Google scrive che il mercato della sorveglianza commerciale è diventato molto redditizio. Ci sono almeno 40 software house specializzate nello sviluppo di tool che, sfruttando le vulnerabilità zero-day, installano spyware sui dispositivi delle ignare vittime. I fornitori affermano di vendere i tool solo alle forze dell’ordine per un uso legittimo (ad esempio per combattere il terrorismo). In realtà, questi strumenti sono utilizzati da alcuni governi per spiare giornalisti, dissidenti e oppositori politici.
Gli esperti di Google hanno rilevato che 20 su 25 (80%) vulnerabilità zero-day scoperte nel 2023 sono state sfruttate dai CSV. Dal 2014 ad oggi, gli spyware commerciali hanno utilizzato 35 bug zero-day sui 72 presenti nei prodotti di Google. La maggioranza dei ricercatori di sicurezza comunicano le vulnerabilità trovate nei software alle rispettive aziende. Alcuni preferiscono invece vendere i bug ai CSV.
I più noti fornitori di spyware commerciali sono NSO Group (Pegasus), Intellexa (Predator) e Variston (Heliconia), ma ci sono altri CSV meno conosciuti. L’Italia è rappresentata da tre CSV. Il primo è Cy4Gate che sviluppa lo spyware Epeius. Cy4Gate ha acquisito RCS Lab che sviluppa lo spyware Hermit. C’è infine Negg Group che sviluppa lo spyware VBiss.
Quasi tutti gli spyware commerciali vengono utilizzati per colpire dispositivi mobile, sfruttando principalmente vulnerabilità zero-day e/o zero-click. Le licenze di questi tool sono molto costose. Nel report di Google c’è un’offerta commerciale di Intellexa per Predator: 8 milioni di euro.