Ловците на заплахи в Google твърдят, че са открили доказателства за подкрепяна от руската държава хакерска група, която използва повторно експлойти за iOS и Chrome, използвани преди това от търговците на шпионски софтуер NSO Group и Intellexa.

Според изследователи от групата за анализ на заплахите (TAG) на Google руската APT29 е наблюдавана да използва експлойти с идентични или поразителни прилики с тези, използвани от NSO Group и Intellexa, което предполага потенциално придобиване на инструменти между подкрепяни от държавата хакери и противоречиви доставчици на софтуер за наблюдение.

Руският хакерски екип, известен също като Midnight Blizzard of NOBELIUM, е обвиняван за няколко високопоставени корпоративни хакерски атаки, включително пробив в Microsoft, който включва кражба на изходен код и масиви с имейли на ръководители.

Според изследователите на Google APT29 е използвала множество кампании за експлойти в дивата природа, които са били доставени от атака с водна дупка на монголски правителствени уебсайтове. Кампаниите първо са доставили експлойт за WebKit за iOS, засягащ версии на iOS, по-стари от 16.6.1, а по-късно са използвали верига от експлойти за Chrome срещу потребители на Android с версии от m121 до m123.

„Тези кампании доставиха n-дневни експлойти, за които бяха налични кръпки, но все още щяха да бъдат ефективни срещу неподплатени устройства“, заявиха от Google TAG, като отбелязаха, че във всяка итерация на кампаниите за „watering hole“ нападателите са използвали експлойти, които са били идентични или поразително подобни на експлойти, използвани преди това от NSO Group и Intellexa.

Google публикува техническа документация на кампания за Apple Safari между ноември 2023 г. и февруари 2024 г., която предоставя експлойт за iOS чрез CVE-2023-41993 (поправен от Apple и приписан на Citizen Lab).

„При посещение с устройство iPhone или iPad сайтовете за watering hole използваха iframe, за да сервират разузнавателен полезен товар, който извършваше проверки за валидиране, преди накрая да изтегли и разположи друг полезен товар с експлойт WebKit, за да екфилтрира бисквитките на браузъра от устройството“, заяви Google, като отбеляза, че експлойтът WebKit не е засегнал потребителите, работещи с актуалната по това време версия на iOS (iOS 16.7), или iPhone с активиран режим Lockdown.

Според Google експлойтът от тази водна дупка „е използвал абсолютно същия спусък“ като публично открития експлойт, използван от Intellexa, което силно подсказва, че авторите и/или доставчиците са едни и същи.

„Не знаем как нападателите в последните кампании за пробив са се сдобили с този експлойт“, заявиха от Google.

Google отбеляза, че и двата експлойта споделят една и съща рамка за експлоатация и зареждат същата рамка за кражба на бисквитки, прихваната по-рано, когато подкрепян от руското правителство нападател експлоатира CVE-2021-1879, за да придобие бисквитки за удостоверяване от известни уебсайтове като LinkedIn, Gmail и Facebook.

Изследователите документираха и втора верига от атаки, поразяваща две уязвимости в браузъра Google Chrome. Една от тези уязвимости (CVE-2024-5274) беше открита като „нулев ден“, използван от NSO Group.

В този случай Google откри доказателства, че руската APT е адаптирала експлойта на NSO Group. „Въпреки че имат много сходен спусък, двата експлойта са концептуално различни и приликите са по-малко очевидни, отколкото при експлойта за iOS. Например, експлойтът на NSO поддържаше версии на Chrome от 107 до 124, а експлойтът от Watering hole беше насочен конкретно само към версии 121, 122 и 123“, заявиха от Google.

Вторият бъг във веригата от руски атаки (CVE-2024-4671) също е докладван като експлоатиран нулев ден и съдържа образец на експлойт, подобен на предишно бягство от пясъчника на Chrome, което преди това е било свързано с Intellexa.

„Това, което е ясно, е, че участниците в APT използват експлойти от типа n-day, които първоначално са били използвани като zero-day от търговските доставчици на шпионски софтуер“, заявиха от Google TAG.