Hackers do governo russo são descobertos usando exploits feitos pelas empresas de spyware NSO e Intellexa
O Google diz ter evidências de que hackers do governo russo estão usando exploits que são “idênticos ou muito semelhantes” aos feitos anteriormente pelos fabricantes de spyware Intellexa e NSO Group.
Em uma postagem de blog na quinta-feiraO Google disse que não tem certeza de como o governo russo adquiriu os exploits, mas disse que este é um exemplo de como os exploits desenvolvidos por fabricantes de spyware podem acabar nas mãos de “atores de ameaças perigosas”.
Neste caso, o Google diz que os agentes da ameaça são o APT29, um grupo de hackers amplamente atribuído ao Serviço de Inteligência Estrangeira da Rússia, ou SVR. O APT29 é um grupo de hackers altamente capaz, conhecido por suas campanhas persistentes e de longa duração, destinadas a conduzir espionagem e roubo de dados contra uma variedade de alvos, incluindo as gigantes da tecnologia Microsoft e SolarWinds, bem como governos estrangeiros.
O Google disse que encontrou o código de exploração oculto incorporado em sites do governo da Mongólia entre novembro de 2023 e julho de 2024. Durante esse período, qualquer pessoa que visitasse esses sites usando um iPhone ou dispositivo Android poderia ter seu telefone hackeado e dados roubados, incluindo senhas, no que é conhecido como ataque “watering hole”.
Os exploits aproveitaram vulnerabilidades no navegador Safari do iPhone e no Google Chrome no Android que já tinham sido corrigidas na época da suposta campanha russa. Ainda assim, esses exploits podem ser eficazes em comprometer dispositivos sem patches.
De acordo com a postagem do blog, o exploit direcionado a iPhones e iPads foi projetado para roubar cookies de contas de usuários armazenados no Safari especificamente em uma variedade de provedores de e-mail online que hospedam contas pessoais e de trabalho do governo mongol. Os invasores poderiam usar os cookies roubados para acessar essas contas governamentais. O Google disse que a campanha destinada a atingir dispositivos Android usou dois exploits separados juntos para roubar cookies de usuários armazenados no navegador Chrome.
O pesquisador de segurança do Google Clement Lecigne, autor do post do blog, disse ao TechCrunch que não se sabe ao certo quem os hackers do governo russo estavam mirando nesta campanha. “Mas com base em onde o exploit foi hospedado e quem normalmente visitaria esses sites, acreditamos que funcionários do governo mongol eram um alvo provável”, disse ele.
Lecigne, que trabalha para o Grupo de Análise de Ameaças do Google, a unidade de pesquisa de segurança que investiga ameaças cibernéticas apoiadas pelo governo, disse que o Google está vinculando a reutilização do código à Rússia porque os pesquisadores observaram anteriormente o mesmo código de roubo de cookies usado pelo APT29. durante uma campanha anterior em 2021.
Uma questão fundamental permanece: como os hackers do governo russo obtiveram o código de exploração para começar? O Google disse que ambas as iterações da campanha watering hole visando o governo mongol usaram código semelhante ou correspondente a exploits da Intellexa e do NSO Group. Essas duas empresas são conhecidas por desenvolver exploits capazes de entregar spyware que pode comprometer iPhones e telefones Android totalmente corrigidos.
O Google disse que o código de exploração usado no ataque watering hole visando usuários do Chrome no Android compartilhou um “gatilho muito similar” com um exploit desenvolvido anteriormente pelo NSO Group. No caso do exploit visando iPhones e iPads, o Google disse que o código usou o “exatamente o mesmo gatilho que o exploit usado pela Intellexa,” o que o Google disse que sugeria fortemente que os autores ou provedores do exploit “são os mesmos.”
Quando questionado pelo TechCrunch sobre a reutilização do código de exploração, Lecigne disse: “Não acreditamos que o ator tenha recriado a exploração”, descartando a probabilidade de que a exploração tenha sido descoberta de forma independente pelos hackers russos.
“Há várias possibilidades de como eles poderiam ter adquirido o mesmo exploit, incluindo comprá-lo depois de ter sido corrigido ou roubar uma cópia do exploit de outro cliente”, disse Lecigne.
O Google disse que os usuários devem “aplicar patches rapidamente” e manter o software atualizado para ajudar a prevenir ataques cibernéticos maliciosos. De acordo com Lecigne, usuários de iPhone e iPad com o recurso de alta segurança Lockdown Mode ativado não foram afetados, mesmo ao executar uma versão vulnerável do software.
O TechCrunch contatou a Embaixada Russa em Washington DC e a Missão Permanente da Mongólia nas Nações Unidas em Nova York para comentar, mas não obteve resposta até o momento desta publicação. A Intellexa não pôde ser contatada para comentar, e o NSO Group não retornou uma solicitação de comentário. O porta-voz da Apple, Shane Bauer, não respondeu a uma solicitação de comentário.