Die russische Hackergruppe APT29, auch bekannt als Midnight Blizzard oder Cozy Bear, hat in einer Reihe von Cyberangriffen zwischen November 2023 und Juli 2024 kommerzielle Spyware-Exploits für iOS und Android eingesetzt. Dies geht aus einem aktuellen Bericht der Google Threat Analysis Group (TAG) hervor. Die Angriffe zielten auf mongolische Regierungswebsites und nutzten die sogenannte Watering-Hole-Technik.
Watering-Hole-Angriffe auf mongolische Regierungswebsites
Bei Watering-Hole-Angriffen kompromittieren Hacker legitime Websites und platzieren dort Schadcode, der auf bestimmte Besucher abzielt. Im Fall von APT29 wurden mehrere mongolische Regierungswebsites infiltriert, darunter cabinet.gov[.]mn und mfa.gov[.]mn. Die Angreifer fügten bösartige iframes ein, die Exploits für verschiedene Schwachstellen in iOS und Android auslieferten.
iOS-Exploit für CVE-2023-41993
Im November 2023 nutzte APT29 einen Exploit für die iOS WebKit-Schwachstelle CVE-2023-41993. Dieser Exploit war identisch mit einem zuvor von Intellexa verwendeten kommerziellen Spyware-Exploit. Er ermöglichte das Stehlen von Cookies von iPhone-Nutzern mit iOS 16.6.1 und älter.
Android-Exploits für Chrome-Schwachstellen
Im Juli 2024 setzte die Gruppe Exploits für die Chrome-Schwachstellen CVE-2024-5274 und CVE-2024-4671 ein. Diese zielten auf Android-Nutzer, die die kompromittierte Website mga.gov[.]mn besuchten. Die Angreifer versuchten, Cookies, Passwörter und andere sensible Daten aus den Browsern der Opfer zu stehlen.
Verbindungen zu kommerziellen Spyware-Herstellern
Die von APT29 eingesetzten Exploits weisen starke Ähnlichkeiten mit Exploits auf, die zuvor von kommerziellen Spyware-Herstellern wie NSO Group und Intellexa verwendet wurden. Der Exploit für CVE-2024-5274 war eine leicht modifizierte Version eines NSO Group-Exploits, während der Exploit für CVE-2024-4671 Gemeinsamkeiten mit früheren Intellexa-Exploits aufwies.
Mögliche Beschaffungswege der Exploits
Die genaue Methode, wie APT29 Zugang zu diesen kommerziellen Exploits erlangte, ist unklar. Die TAG-Forscher nennen mehrere mögliche Szenarien:
- Hacking von Spyware-Anbietern
- Rekrutierung oder Bestechung von Mitarbeitern
- Direkte oder indirekte Zusammenarbeit mit den Unternehmen
- Erwerb der Exploits von Vulnerability-Brokern
Diese Entwicklung unterstreicht die zunehmende Verflechtung zwischen staatlich unterstützten Hackergruppen und der kommerziellen Spyware-Industrie. Sie verdeutlicht die Notwendigkeit strengerer Regulierungen und verbesserter Sicherheitsmaßnahmen im Bereich der Cybersicherheit. Organisationen und Einzelpersonen sollten wachsam bleiben, ihre Systeme regelmäßig aktualisieren und bewährte Sicherheitspraktiken anwenden, um sich vor solch ausgeklügelten Bedrohungen zu schützen.