Az APT29 és a Kereskedelmi Megfigyelő Szolgáltatók Kapcsolata
A Kreml által támogatott kémkedő csoport, az APT29, újabb bizonyítékot szolgáltat arra, hogy a kereskedelmi megfigyelő szolgáltatók (CSV) által eladott fejlett hackelési technikák világszerte veszélyt jelentenek. A Google elemzői csütörtökön mutatták be kutatásukat, amely szerint az APT29 az Intellexa és az NSO Group által értékesített exploitokat használta.
Az APT29, amelyet a Cozy Bear és Midnight Blizzard néven is ismernek, a Ruszkai Külföldi Hírszerző Szolgálat (SVR) megbízásából dolgozik. A Google Threat Analysis Group (TAG) kutatói megállapították, hogy az APT29 az NSO Group és Intellexa által először használt, azonos vagy nagyon hasonló exploitokat alkalmazott a támadásaik során.
Amikor a hibákra javítások váltak elérhetővé, a TAG megfigyelte, hogy az APT29 vízgyűjtő támadásokban használta ezeket az exploitokat, amelyek célzottan fertőztek meg olyan weboldalakat, amelyeket a célpontjaik gyakran látogattak. A TAG megjegyezte, hogy az APT29 n-nap exploitokat használt, amelyek olyan sebezhetőségeket céloztak meg, amelyeket nemrégiben javítottak, de a felhasználók még nem telepítették széles körben.
Lecigne, a TAG munkatársa, kiemelte: „Minden vízgyűjtő kampány során a támadók olyan exploitokat használtak, amelyek azonosak vagy nagyon hasonlóak a CSV-k, az Intellexa és az NSO Group exploitjaihoz.” A támadók exploitjainak megszerzésének módja egyelőre rejtély, de a gyanú szerint a CSV-k vagy a közvetítők közötti rosszindulatú belső emberek, hackelések vagy akár közvetlen vásárlások is lehetségesek.
Például a TAG megfigyelte, hogy az APT29 kompromittálta a mongol kormány weboldalait, és egy kódot helyezett el, amely a CVE-2023-41993 sebezhetőséget kihasználta. Ez a kritikus hiba a WebKit böngésző motorban található, és lehetővé tette, hogy az orosz operatívok ellopják a böngésző süti adatait, hogy hozzáférjenek a célpontjaik online fiókjaihoz.
A vizsgálatok során megállapították, hogy az APT29 a CVE-2024-5274 és CVE-2024-4671 sebezhetőségeket is kihasználta a mongol kormány weboldalain, amelyek n-nap sebezhetőségek voltak a Google Chrome-ban.
A TAG elemzése világosan mutatja, hogy a kereskedelmi megfigyelési ipar által kifejlesztett exploitok hogyan kerülnek veszélyes fenyegető csoportok kezébe, függetlenül attól, hogy a CSV-k ígérete szerint ezek a technikák csak „jó hírnevű” kormányok számára állnak rendelkezésre.
Érdekesség: A kiberbiztonsági szakértők szerint a kereskedelmi megfigyelő szolgáltatók által eladott exploitok akár 80%-a is kormányzati megbízásokon keresztül juthat el a hackerekhez.
Források: Google Threat Analysis Group, TechCrunch, ZDNet
