Ловците на заплахи в Google твърдят, че са открили доказателства за подкрепяна от руската държава хакерска група, която използва повторно експлойти за iOS и Chrome, използвани преди това от търговците на шпионски софтуер NSO Group и Intellexa.
Според изследователи от групата за анализ на заплахите (TAG) на Google руската APT29 е наблюдавана да използва експлойти с идентични или поразителни прилики с тези, използвани от NSO Group и Intellexa, което предполага потенциално придобиване на инструменти между подкрепяни от държавата хакери и противоречиви доставчици на софтуер за наблюдение.
Руският хакерски екип, известен също като Midnight Blizzard of NOBELIUM, е обвиняван за няколко високопоставени корпоративни хакерски атаки, включително пробив в Microsoft, който включва кражба на изходен код и масиви с имейли на ръководители.
Според изследователите на Google APT29 е използвала множество кампании за експлойти в дивата природа, които са били доставени от атака с водна дупка на монголски правителствени уебсайтове. Кампаниите първо са доставили експлойт за WebKit за iOS, засягащ версии на iOS, по-стари от 16.6.1, а по-късно са използвали верига от експлойти за Chrome срещу потребители на Android с версии от m121 до m123.
„Тези кампании доставиха n-дневни експлойти, за които бяха налични кръпки, но все още щяха да бъдат ефективни срещу неподплатени устройства“, заявиха от Google TAG, като отбелязаха, че във всяка итерация на кампаниите за „watering hole“ нападателите са използвали експлойти, които са били идентични или поразително подобни на експлойти, използвани преди това от NSO Group и Intellexa.
Google публикува техническа документация на кампания за Apple Safari между ноември 2023 г. и февруари 2024 г., която предоставя експлойт за iOS чрез CVE-2023-41993 (поправен от Apple и приписан на Citizen Lab).
„При посещение с устройство iPhone или iPad сайтовете за watering hole използваха iframe, за да сервират разузнавателен полезен товар, който извършваше проверки за валидиране, преди накрая да изтегли и разположи друг полезен товар с експлойт WebKit, за да екфилтрира бисквитките на браузъра от устройството“, заяви Google, като отбеляза, че експлойтът WebKit не е засегнал потребителите, работещи с актуалната по това време версия на iOS (iOS 16.7), или iPhone с активиран режим Lockdown.
Според Google експлойтът от тази водна дупка „е използвал абсолютно същия спусък“ като публично открития експлойт, използван от Intellexa, което силно подсказва, че авторите и/или доставчиците са едни и същи.
„Не знаем как нападателите в последните кампании за пробив са се сдобили с този експлойт“, заявиха от Google.
Google отбеляза, че и двата експлойта споделят една и съща рамка за експлоатация и зареждат същата рамка за кражба на бисквитки, прихваната по-рано, когато подкрепян от руското правителство нападател експлоатира CVE-2021-1879, за да придобие бисквитки за удостоверяване от известни уебсайтове като LinkedIn, Gmail и Facebook.
Изследователите документираха и втора верига от атаки, поразяваща две уязвимости в браузъра Google Chrome. Една от тези уязвимости (CVE-2024-5274) беше открита като „нулев ден“, използван от NSO Group.
В този случай Google откри доказателства, че руската APT е адаптирала експлойта на NSO Group. „Въпреки че имат много сходен спусък, двата експлойта са концептуално различни и приликите са по-малко очевидни, отколкото при експлойта за iOS. Например, експлойтът на NSO поддържаше версии на Chrome от 107 до 124, а експлойтът от Watering hole беше насочен конкретно само към версии 121, 122 и 123“, заявиха от Google.
Вторият бъг във веригата от руски атаки (CVE-2024-4671) също е докладван като експлоатиран нулев ден и съдържа образец на експлойт, подобен на предишно бягство от пясъчника на Chrome, което преди това е било свързано с Intellexa.
„Това, което е ясно, е, че участниците в APT използват експлойти от типа n-day, които първоначално са били използвани като zero-day от търговските доставчици на шпионски софтуер“, заявиха от Google TAG.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.