W ostatnich latach elitarni dostawcy komercyjnego oprogramowania szpiegującego, tacy jak Intellexa i NSO Group, opracowali szereg potężnych narzędzi hakerskich, które wykorzystują rzadkie i niezałatane luki w oprogramowaniu typu „dzień zerowy” w celu naruszenia bezpieczeństwa urządzeń ofiar. Coraz częściej rządy na całym świecie stają się głównymi klientami tych narzędzi, kradnąc smartfony przywódców opozycji, dziennikarzy, aktywistów, prawników i innych osób. Jednak w czwartek Grupa ds. Analizy Zagrożeń Google publikowanie ustaleń o serii niedawnych kampanii hakerskich – najwyraźniej przeprowadzonych przez cieszący się złą sławą rosyjski gang APT29 Cozy Bear – które wykorzystują exploity bardzo podobne do tych opracowanych przez Intellexa i NSO Group w bieżącej działalności szpiegowskiej.
W okresie od listopada 2023 r. do lipca 2024 r. napastnicy włamali się na strony internetowe rządu mongolskiego i wykorzystali uzyskany dostęp do przeprowadzenia ataków typu „watering hole”, w ramach których każda osoba posiadająca podatne na ataki urządzenie, która ładuje zaatakowaną witrynę, zostaje zhakowana. Napastnicy skonfigurowali złośliwą infrastrukturę w celu wykorzystania exploitów, które „były identyczne lub uderzająco podobne do exploitów wykorzystywanych wcześniej przez komercyjnych dostawców systemów nadzoru Intellexa i NSO Group” – napisał w czwartek Google TAG. Naukowcy twierdzą, że „oceniają z umiarkowaną pewnością”, że kampanie przeprowadziło APT29.
Te narzędzia hakerskie przypominające oprogramowanie szpiegowskie wykorzystywały luki w zabezpieczeniach systemów iOS firmy Apple i Androida firmy Google, które w dużej mierze zostały już załatane. Pierwotnie były one wdrażane przez dostawców oprogramowania szpiegującego jako niezałatane exploity zero-day, ale w tej wersji podejrzani rosyjscy hakerzy używali ich do atakowania urządzeń, które nie zostały zaktualizowane za pomocą tych poprawek.
„Chociaż nie jesteśmy pewni, w jaki sposób podejrzani aktorzy APT29 zdobyli te exploity, nasze badanie podkreśla stopień, w jakim exploity opracowane po raz pierwszy przez przemysł komercyjnego nadzoru są rozprzestrzeniane wśród niebezpiecznych podmiotów zagrażających” – napisali badacze z TAG. „Co więcej, ataki na wodopoje pozostają zagrożeniem, w przypadku którego można wykorzystać wyrafinowane exploity, aby obrać za cel osoby regularnie odwiedzające witryny, w tym na urządzeniach mobilnych. Wodopoje nadal mogą być skuteczną metodą… masowego atakowania populacji, która może nadal korzystać z niezałatanych przeglądarek”.
Możliwe, że hakerzy kupili i zaadaptowali exploity spyware, ukradli je lub zdobyli w wyniku wycieku. Możliwe jest również, że hakerzy zainspirowali się komercyjnymi exploitami i dokonali ich inżynierii wstecznej, sprawdzając zainfekowane urządzenia ofiary.
W okresie od listopada 2023 r. do lutego 2024 r. hakerzy wykorzystali exploit dla systemów iOS i Safari, który pod względem technicznym był identyczny z ofertą, którą Intellexa zadebiutowała kilka miesięcy wcześniej jako niezałatany dzień zerowy we wrześniu 2023 r. W lipcu 2024 r. hakerzy wykorzystali również exploit dla przeglądarki Chrome zaadaptowany z narzędzia NSO Group, które pojawiło się po raz pierwszy w maju 2024 r. To ostatnie narzędzie hakerskie zostało użyte w połączeniu z exploitem, który był bardzo podobny do exploita Intellexa, który zadebiutował we wrześniu 2021 r.
Kiedy napastnicy wykorzystują luki, które zostały już załatane, działanie to nazywa się „eksploatacją n-dniową”, ponieważ luka w zabezpieczeniach nadal istnieje i z biegiem czasu może zostać wykorzystana na niezałatanych urządzeniach. Podejrzewani rosyjscy hakerzy wykorzystali narzędzia powiązane z komercyjnym oprogramowaniem szpiegującym, ale skonstruowali swoje ogólne kampanie – obejmujące dostarczanie złośliwego oprogramowania i aktywność na zaatakowanych urządzeniach – inaczej niż zrobiłby to typowy klient komercyjnego oprogramowania szpiegującego. Wskazuje to na poziom płynności i biegłości technicznej charakterystyczny dla ustalonej i dysponującej odpowiednimi zasobami grupy hakerskiej, wspieranej przez państwo.
„W każdej iteracji kampanii wodopoju osoby atakujące wykorzystywały exploity, które były identyczne lub uderzająco podobne do exploitów z [commercial surveillance vendors]Intellexa i NSO Group” – napisał TAG. „Nie wiemy, w jaki sposób napastnicy zdobyli te exploity. Jasne jest, że aktorzy APT wykorzystują n-dniowe exploity, które pierwotnie były używane przez CSV jako 0-dniowe.”
