Google otkriva da ruski hakeri koriste špijunski softver sličan onom od NSO Group i Intellexa

Google je objavio da ima dokaze da provladini ruski hakeri koriste eksploite (kod koji koristi ranjivost aplikacija ili računarskih sistema) koji su „identični ili upečatljivo slični“ onima koje su prethodno napravili proizvođači špijunskog softvera Intellexa i NSO Group.

U blogu objavljenom u četvrtak, Google je naveo da nije siguran kako je ruska vlada došla do eksploita, ali je istakao da je ovo primer kako eksploiti razvijeni od strane proizvođača špijunskog softvera mogu završiti u rukama „opasnih pretnji.“

U ovom slučaju, Google navodi da su pretnje povezane sa APT29, grupom hakera koja se široko pripisuje ruskoj Spoljnjoj obaveštajnoj službi, odnosno SVR-u. APT29 je visoko sposobna grupa hakera, poznata po dugotrajnim i upornim kampanjama usmerenim na špijunažu i krađu podataka od raznih ciljeva, uključujući tehnološke gigante kao što su Microsoft i SolarWinds, kao i strane vlade.

Google je otkrio skriveni kod eksploita ugrađen na sajtove mongolskih vladinih institucija između novembra 2023. i jula 2024. godine. Tokom tog perioda, svako ko je posetio te sajtove koristeći iPhone ili Android uređaj mogao je biti hakovan i podaci su mu mogli biti ukradeni, uključujući lozinke, u onome što je poznato kao „watering hole“ napad.

Eksploiti su iskoristili ranjivosti u Safari pregledaču na iPhone-u i Google Chrome-u na Androidu koje su već bile ispravljene u vreme kada se sumnja da je ruska kampanja bila aktivna. Ipak, ti eksploiti su mogli biti efikasni u kompromitovanju uređaja koji nisu bili ažurirani.

Prema blogu, eksploit koji su koristili ruski hakeri usmeren na iPhone i iPad bio je dizajniran da krade korisničke kolačiće (cookies) sačuvane u Safari pregledaču, posebno sa niza online provajdera e-pošte koji hostuju lične i poslovne naloge mongolskih vladinih službenika. Napadači su mogli koristiti ukradene kolačiće da bi pristupili tim vladinim nalozima. Google je naveo da je kampanja usmerena na Android uređaje koristila dva odvojena eksploita kako bi ukrala korisničke kolačiće sačuvane u Chrome pregledaču.

Googleov istraživač bezbednosti, Clement Lecigne, koji je autor bloga, rekao je za TechCrunch da nije poznato koga su tačno provladini ruski hakeri ciljali u ovoj kampanji. „Ali na osnovu mesta gde je eksploit bio hostovan i ko bi obično posećivao te sajtove, verujemo da su mongolski vladini službenici bili verovatni cilj,“ rekao je on.

shutterstock

Lecigne, koji radi za Googleovu Threat Analysis Group, istraživačku jedinicu za bezbednost koja istražuje sajber pretnje podržane od strane vlada, rekao je da Google povezuje ponovnu upotrebu koda sa Rusijom jer su istraživači prethodno primetili isti kod za krađu kolačića koji je koristio APT29 tokom ranije kampanje 2021. godine.

Ključno pitanje ostaje: Kako su ruski vladini hakeri uopšte došli do koda? Google je naveo da su obe iteracije watering hole kampanje usmerene na mongolsku vladu koristile kod koji podseća na eksploite kompanija Intellexa i NSO Group. Ove dve kompanije su poznate po razvoju eksploita sposobnih da isporuče špijunski softver koji može kompromitovati u potpunosti ažurirane iPhone i Android telefone.

Google je naveo da je kod korišćen u watering hole napadu na korisnike Chrome-a na Androidu imao „veoma sličan okidač“ kao eksploit koji je ranije razvila NSO Group. U slučaju eksploita usmerenog na iPhone i iPad, Google je rekao da je kod koristio „potpuno isti okidač kao eksploit koji je koristila Intellexa,“ što je, prema Google-u, snažno sugerisalo da su autori eksploita ili provajderi „isti.“

Kada su ga pitali o ponovnoj upotrebi spornog koda, Lecigne je rekao: „Ne verujemo da je akter ponovo kreirao eksploit,“ isključujući mogućnost da su ruski hakeri nezavisno došdli do istog.

„Postoji više mogućnosti kako su mogli da dobiju isti eksploit, uključujući kupovinu nakon što je ispravka već bila objavljena ili krađu kopije eksploita od drugog korisnika,“ rekao je Lecigne.

NSO Group nije odgovorio na upit TechCrunch-a pre objave. U izjavi dostavljenoj nakon objave, portparol NSO-a, Gil Lainer, rekao je: „NSO ne prodaje svoje proizvode Rusiji. Naše tehnologije se prodaju isključivo proveravanim obaveštajnim i agencijama za sprovođenje zakona u SAD-u i savezničkim zemljama. Naši sistemi i tehnologije su visoko bezbedni i kontinuirano se nadziru radi otkrivanja i neutralisanja spoljašnjih pretnji.“

Google je rekao da korisnici treba da „brzo primenjuju ispravke“ i drže softver ažuriranim kako bi sprečili zlonamerne sajber napade. Prema Lecigne-u, korisnici iPhone-a i iPad-a koji su uključili funkciju visokog nivoa sigurnosti, Lockdown Mode, nisu bili pogođeni čak i kada su koristili verziju softvera koja je bila ranjiva.