Cyberbezpieczeństwo
Rosjanie wykorzystują exploity tuż po... autorach spyware
Rosyjski aktor APT29 wykorzystuje te same podatności, co przedsiębiorstwa dostarczające oprogramowanie szpiegowskie – wynika z prac Google Threat Analysis Group. Działania hakerów następowały niedługo po udanym zastosowaniu exploitów 0-day przez Intellexa oraz NSO Group. „Nie wiadomo, jak atakujący weszli w ich posiadanie” – zaznaczyli badacze.
Działania cyberprzestępców wspieranych przez rosyjski rząd są problemem od kilku lat. Tylko w 2024 roku nie było praktycznie miesiąca bez informacji o kolejnym cyberataku przeprowadzonym przez grupy powiązane z Kremlem.
Na przełomie czerwca i lipca informowaliśmy o cyberataku, jaki został przeprowadzony na niemieckiego TeamViewera. Po dwóch tygodniach pojawiły się z kolei doniesienia o atakach DDoS na polską infrastrukturę krytyczną. W marcu mówiliśmy o ataku phishingowym na globalną skalę – przykłady można mnożyć bez końca.
Czytaj też
Hakerzy wykorzystali luki. Wcześniej zrobili to autorzy spyware
Tymczasem w czwartek Google Threat Analysis Group poinformowało o wynikach obserwacji prowadzonych od listopada zeszłego roku. Eksperci zauważyli bowiem, że aktor oznaczony jako APT29 wykorzystał exploit CVE-2023-41993 w ramach cookie stealera.
Sprawa była jednak ciekawsza z innego powodu. Dwa miesiące wcześniej Intellexa, spółka-matka Cytrox– przedsiębiorstwa odpowiedzialnego za oprogramowanie Predator – zastosowała dokładnie ten sam exploit jako 0-day. Miejscem jego zastosowania były strony rządowe w Mongolii.
Mogłoby to zostać uznane za zwykły zbieg okoliczności, gdyby nie kolejna obserwacja Threat Analysis Group - tym razem z lipca 2024. APT29 w kolejnej operacji przeprowadzonej na mongolskich stronach administracji rządowej wykorzystało exploit CVE-2024-5274 w tym samym celu, co wcześniejsza operacja. Badacze odkryli, że w maju – zaledwie dwa miesiące wcześniej – NSO Group (znana z oprogramowania Pegasus) skorzystała z tej samej luki, z wyjątkiem modyfikacji dokonanych przez hakerów.
Czytaj też
Mongolskie strony wykorzystane do ataku
W obu przypadkach, rosyjskim hakerom zależało na wykradzeniu ciasteczek uwierzytelniających z przeglądarek za pomocą ataków typu watering hole. W przypadku z listopada 2023 roku, strony rządu i Ministerstwa Spraw Zagranicznych Mongolii zawierały ramkę iframe z exploitem, którego celem były iPhone’y z wersją oprogramania 16.6.1 lub starszą.
W lipcu 2024 roku został z kolei zmieniony cel ataków. Zamiast użytkowników iPhone«ów, ciasteczka uwierzytelniające były wykradane użytkownikom Google Chrome. W tym celu, hakerzy umieścili kod javascript jedynie na stronie mongolskiego MSZ. Threat Analysis Group zwraca uwagę, że w tym przypadku konieczne było dołączenie dodatkowego Chrome sandbox escape w celu umożliwienia działania kodu zgodnie z założeniami atakujących.
Eksperci w swoim stanowisku wezwali do regularnego aktualizowania oprogramowania i instalacji potrzebnych łatek. Zaznaczyli równocześnie, że nie wiadomo, w jaki sposób cyberprzestępcy zdobyli wiedzę o istnieniu tychże luk.
Ataki typu watering hole pozostają zagrożeniem, w którym wyrafinowane exploity mogą być wykorzystywane do atakowania osób regularnie odwiedzających witryny, w tym na urządzeniach mobilnych
Google Threat Analysis Group
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].