„Google“ teigia turinti įrodymų, kad Rusijos vyriausybės įsilaužėliai naudojasi „identiškais arba labai panašiais“ į tuos, kuriuos anksčiau darė šnipinėjimo programų gamintojai „Inllexa“ ir „NSO Group“.
Ketvirtadienį paskelbtame tinklaraščio įraše „Google“ teigė, kad nėra tikra, kaip Rusijos vyriausybė įsigijo išnaudojimą, tačiau teigė, kad tai yra pavyzdys, kaip šnipinėjimo programų kūrėjų sukurti išnaudojimai gali patekti į „pavojingų grėsmių veikėjų“ rankas.
Šiuo atveju „Google“ teigia, kad grėsmės veikėjai yra APT29, įsilaužėlių grupė, plačiai priskiriama Rusijos užsienio žvalgybos tarnybai arba SVR. APT29 yra labai pajėgi įsilaužėlių grupė, žinoma dėl savo ilgalaikių ir nuolatinių kampanijų, skirtų šnipinėjimui ir duomenų vagystėms prieš įvairius taikinius, įskaitant technologijų milžinus Microsoft ir SolarWinds, taip pat užsienio vyriausybes.
„Google“ pranešė, kad rado paslėptą išnaudojimo kodą, įdėtą Mongolijos vyriausybės svetainėse nuo 2023 m. lapkričio mėn. iki 2024 m. liepos mėn. Per tą laiką kiekvieno, apsilankiusio šiose svetainėse naudodami „iPhone“ ar „Android“ įrenginį, telefonas galėjo būti nulaužtas ir pavogti duomenys, įskaitant slaptažodžius. yra žinomas kaip „girdymo duobės“ ataka.
Išnaudojimai pasinaudojo „iPhone“ naršyklės „Safari“ ir „Google Chrome“ „Android“ spragomis, kurios jau buvo ištaisytos įtariamos Rusijos kampanijos metu. Vis dėlto šie išnaudojimai gali būti veiksmingi siekiant pažeisti nepataisytus įrenginius.
Remiantis tinklaraščio įrašu, išnaudojimas, nukreiptas į „iPhone“ ir „iPad“, buvo sukurtas siekiant pavogti „Safari“ saugomus vartotojo abonemento slapukus, specialiai skirtus įvairiems internetinio el. pašto paslaugų teikėjams, kuriuose yra asmeninės ir darbo Mongolijos vyriausybės paskyros. Užpuolikai galėjo naudoti pavogtus slapukus, kad galėtų pasiekti tas vyriausybės paskyras. „Google“ teigė, kad kampanija, skirta „Android“ įrenginiams, kartu naudojo du skirtingus išnaudojimus, kad pavogtų „Chrome“ naršyklėje saugomus vartotojo slapukus.
„Google“ saugumo tyrinėtojas Clementas Lecigne’as, parašęs tinklaraščio įrašą, „TechCrunch“ sakė, kad nėra tiksliai žinoma, į ką Rusijos vyriausybės įsilaužėliai nusitaikė šioje kampanijoje. „Tačiau atsižvelgiant į tai, kur buvo vykdomas išnaudojimas ir kas paprastai lankytųsi šiose svetainėse, manome, kad Mongolijos vyriausybės darbuotojai buvo tikėtinas taikinys“, – sakė jis.
Lecigne’as, dirbantis „Google Threat Analysis Group“, saugumo tyrimų padalinyje, tiriančiame vyriausybės remiamas kibernetines grėsmes, teigė, kad „Google“ sieja pakartotinį kodo naudojimą su Rusija, nes tyrėjai anksčiau pastebėjo tą patį slapukų vagystės kodą, kurį anksčiau naudojo APT29. kampaniją 2021 m.
Lieka pagrindinis klausimas: kaip Rusijos vyriausybės įsilaužėliai iš pradžių gavo išnaudojimo kodą? „Google“ teigė, kad abiejose Mongolijos vyriausybei skirtose „Watering Hole“ kampanijos iteracijose buvo naudojamas kodas, panašus į „Intellexa“ ir „NSO Group“ išnaudojimus. Šios dvi įmonės yra žinomos dėl to, kad kuria išnaudojimus, galinčius pristatyti šnipinėjimo programas, kurios gali pažeisti visiškai pataisytus „iPhone“ ir „Android“ telefonus.
„Google“ teigė, kad išnaudojimo kodas, naudojamas atakoje, skirtoje „Chrome“ naudotojams „Android“, buvo „labai panašus“ su anksčiau „NSO Group“ sukurtu išnaudojimu. Kalbant apie išnaudojimą, nukreiptą į „iPhone“ ir „iPad“, „Google“ teigė, kad kode buvo naudojamas „tik toks pats aktyviklis kaip ir Intellexa“, kuris, pasak „Google“, primygtinai rodo, kad išnaudojimo autoriai ar teikėjai „yra tie patys“.
„TechCrunch“ paklaustas apie pakartotinį išnaudojimo kodo naudojimą, Lecigne’as atsakė: „Mes netikime, kad aktorius atkūrė išnaudojimą“, atmetant tikimybę, kad išnaudojimą savarankiškai aptiko Rusijos įsilaužėliai.
„Yra daug galimybių, kaip jie galėjo įsigyti tą patį išnaudojimą, įskaitant jo įsigijimą po to, kai jis buvo pataisytas, arba išnaudojimo kopijos vagystę iš kito kliento“, – sakė Lecigne.
„Google“ teigė, kad vartotojai turėtų „greitai pritaikyti pataisas“ ir nuolat atnaujinti programinę įrangą, kad būtų išvengta kenkėjiškų kibernetinių atakų. Anot Lecigne, „iPhone“ ir „iPad“ naudotojams, kuriems buvo įjungta aukšto saugumo funkcija „Lockdown Mode“, tai nebuvo paveikta net naudojant pažeidžiamą programinės įrangos versiją.
„TechCrunch“ susisiekė su Rusijos ambasada Vašingtone ir Mongolijos nuolatine atstovybe prie Jungtinių Tautų Niujorke, kad galėtų pakomentuoti, tačiau iki spaudos pranešimo negavo. „Intelexa“ nepavyko susisiekti su komentarais, o „NSO Group“ nepateikė prašymo komentuoti. „Apple“ atstovas Shane’as Baueris neatsakė į prašymą pakomentuoti.