.
O Grupo de Análise de Ameaças (TAG) do Google identificou uma semelhança preocupante nas táticas de ataque usadas por fornecedores comerciais de spyware e gangues de ataque ligadas à Rússia.
A equipe do TAG identificou um ataque de watering hole — uma tática desagradável que busca criminosos que semeiam um site legítimo com código malicioso — que é atribuído ao grupo APT29 patrocinado pela Rússia, que atacou o servidor do Gabinete da Mongólia e o Ministério das Relações Exteriores.
Você pode se lembrar do APT29, também conhecido como Cozy Bear, como a gangue de crackers do governo russo que saqueou os servidores do Comitê Nacional Democrata dos EUA e depois foi atrás de alvos do governo da UE. O mesmo grupo estava por trás da intrusão em massa da SolarWinds e, em janeiro de 2024, a Microsoft admitiu que a gangue estava monitorando seus e-mails internos.
O código deixado no bebedouro tinha como alvo vulnerabilidades conhecidas em sistemas operacionais móveis, mas o pessoal de segurança da informação do Google notou semelhanças com ofertas de fornecedores comerciais de spyware, como NSO Group e Intellexa.
“Em cada iteração das campanhas de watering hole, os invasores usaram exploits que eram idênticos ou muito semelhantes aos exploits usados anteriormente pelos fornecedores de vigilância comercial (CSVs) Intellexa e NSO Group”, observou o TAG.
Fornecedores comerciais de spyware são negócios legítimos, mas controversos e também lucrativos. Mas eles estão cada vez mais sob fogo.
A Meta está processando o NSO Group por hackear usuários do WhatsApp. A Apple também está processando e rotulou os iCustomers da NSO como “spyware mercenário”.
Em maio, funcionários-chave da Intellexa foram colocados sob sanções do Tesouro dos EUA após a descoberta de que seu software de vigilância foi usado para monitorar funcionários do governo americano e jornalistas. A Intellexa foi adicionada à lista de Entidades de empresas banidas no ano passado.
Os detectores de ameaças do Google relataram a linha do tempo do ataque watering hole de novembro de 2023 até que ele foi encerrado nos últimos meses. Os servidores web do Gabinete e das Relações Exteriores da Mongólia foram infectados pela primeira vez com malware projetado para explorar a vulnerabilidade CVE-2023-41993 recentemente corrigida no iOS, uma vulnerabilidade que a Intellexa explorou em setembro daquele ano. A Apple corrigiu o problema após detectá-lo em uso pelo fabricante comercial de spyware NSO Group.
Então, em maio de 2024, a NSO começou a explorar a falha do mecanismo V8 JavaScript do Android, que foi corrigida naquele mês. Dois meses depois, a gangue APT29 estava usando a mesma vulnerabilidade para devastar os mongóis, em conjunto com uma vulnerabilidade do Chrome corrigida no mesmo mês pelo Google.
“Embora não tenhamos certeza de como os supostos agentes do APT29 adquiriram esses exploits, nossa pesquisa ressalta até que ponto os exploits desenvolvidos inicialmente pela indústria de vigilância comercial são proliferados para agentes de ameaças perigosos”, concluiu a equipe do TAG.
“Além disso, os ataques de watering hole continuam sendo uma ameaça em que explorações sofisticadas podem ser utilizadas para atingir aqueles que visitam sites regularmente, inclusive em dispositivos móveis.” ®
.
