Ngành công nghiệp phần mềm gián điệp thương mại ngày càng bị chỉ trích vì bán các công cụ giám sát mạnh mẽ cho bất kỳ ai có thể trả tiền, từ chính phủ cho đến bọn tội phạm trên khắp thế giới. Ở Liên minh Châu Âu, các phần mềm gián điệp đã được sử dụng để nhắm mục tiêu vào các nhà hoạt động, lãnh đạo phe đối lập, luật sư và nhà báo ở nhiều quốc gia nhất là gần đây đã gây ra các vụ bê bối và kêu gọi cải cách. Nhóm phân tích mối đe dọa của Google đã công bố hành động chặn một công cụ khai thác lỗ hổng bảo mật (được sử dụng để hack) nhắm mục tiêu vào hàng loạt các máy tính và dường như được phát triển bởi một công ty Tây Ban Nha.

Nền tảng khai thác lỗ hổng bảo mật đó được đặt tên là Heliconia, đã thu hút sự chú ý của Google sau một loạt các dữ liệu ẩn danh được gửi tới chương trình báo cáo lỗi của Chrome. Các tiết lộ chỉ ra các lỗ hổng có thể khai thác trong Chrome, Windows Defender và Firefox có thể bị lạm dụng để triển khai phần mềm gián điệp trên các thiết bị mục tiêu, bao gồm cả máy tính chạy hệ điều hành Windows và Linux.

Dữ liệu bao gồm mã nguồn từ nền tảng hack Heliconia và được gọi là các lỗ hổng Heliconia Noise, Heliconia Soft và Files. Google có bằng chứng chỉ ra công ty công nghệ Variston IT có trụ sở tại Barcelona là nhà phát triển công cụ hack này.

Ông Ralf Wegner, Giám đốc của công ty Variston đưa ra bình luận về vấn đề này với tờ TechCrunch rằng, "Variston IT không có cơ hội xem xét nghiên cứu của Google và không thể xác thực nó".

Google xác nhận rằng, các nhà nghiên cứu của họ đã không liên lạc được với bộ phận CNTT của Variston trước khi xuất bản nghiên cứu của mình, đây cũng là thông lệ tiêu chuẩn của công ty trong các loạt điều tra này.

Google, Microsoft và Mozilla đã vá các lỗ hổng Heliconia vào năm 2021 và 2022, và Google cho biết họ chưa phát hiện bất kỳ hoạt động khai thác lỗi nào hiện tại. Nhưng bằng chứng trong các bản gửi lỗi chỉ ra rằng, khung này có khả năng đã được sử dụng để khai thác các lỗ hổng bắt đầu từ năm 2018 và 2019, rất lâu trước khi chúng được vá.

Việc Google không thấy bằng chứng khai thác hiện tại, có nghĩa là có thể nền tảng Heliconia hiện không hoạt động, nhưng cũng có thể công cụ hack đang được tiếp tục phát triển. Các nhà nghiên cứu của TAG nói với WIRED: “Có thể có những cách khai thác khác, một nền tảng mới, cách khai thác của chúng không vượt qua hệ thống của chúng tôi hoặc hiện có các lớp khác để bảo vệ cách khai thác của họ”.

Cuối cùng, nhóm TAG cho biết mục tiêu của họ với nghiên cứu này là làm sáng tỏ các phương pháp, kỹ thuật sử dụng và sự lạm dụng của ngành công nghiệp phần mềm gián điệp thương mại. TAG đã đưa ra các phát hiện cho dịch vụ Duyệt web an toàn của Google để cảnh báo về các trang web và tệp liên quan đến Heliconia. Các nhà nghiên cứu nhấn mạnh rằng việc luôn cập nhật phần mềm là rất quan trọng.

“Sự phát triển của ngành công nghiệp phần mềm gián điệp khiến người dùng gặp rủi ro và khiến Internet trở nên kém an toàn hơn”, TAG viết trong một bài đăng trên blog về những phát hiện này. “Và mặc dù công nghệ giám sát có thể hợp pháp theo luật pháp quốc gia hoặc quốc tế, nhưng chúng thường được sử dụng theo những cách có hại để thực hiện hoạt động gián điệp kỹ thuật số chống lại một loạt nhóm nghành nghề không đúng mục đích”.