Група дослідників з Google Threat Analysis Group (TAG) виявила, що російська хакерська група APT29 (також відома як Midnight Blizzard та Cozy Bear) використовує експлойти для iOS та Android, розроблені комерційними виробниками шпигунського програмного забезпечення. Ця інформація підкреслює зростаючу складність кіберзагроз та необхідність посилення захисту мобільних пристроїв.
Хронологія та методи атак APT29
За даними експертів TAG, APT29 проводила серію атак з листопада 2023 року по липень 2024 року. Хакери застосовували техніку “watering hole” (“водопій”), компрометуючи урядові веб-сайти Монголії. Ця тактика передбачає впровадження шкідливого коду на легітимні сайти, де він очікує на жертв, що відповідають певним критеріям, таким як архітектура пристрою або географічне розташування.
Атаки на iOS пристрої
У листопаді 2023 року APT29 зламала монгольські урядові сайти cabinet.gov[.]mn та mfa.gov[.]mn, додавши до їх коду шкідливий iframe. Цей iframe доставляв експлойт для вразливості CVE-2023-41993 в iOS WebKit, що дозволяло викрадати файли cookie у користувачів iPhone з iOS 16.6.1 та старших версій. Примітно, що використаний експлойт був ідентичний тому, що застосовувала компанія Intellexa у вересні 2023 року, коли CVE-2023-41993 ще була вразливістю нульового дня.
Атаки на Android пристрої
У липні 2024 року група використала експлойти для вразливостей CVE-2024-5274 та CVE-2024-4671 в Google Chrome для атаки на користувачів Android, які відвідували сайт mga.gov[.]mn. Метою було викрадення файлів cookie, паролів та іншої конфіденційної інформації з браузерів жертв. Експлойт для CVE-2024-5274 був модифікованою версією експлойта NSO Group, а експлойт для CVE-2024-4671 мав багато спільного з попередніми експлойтами Intellexa.
Походження експлойтів та можливі сценарії
Дослідники TAG не мають точної інформації про те, як APT29 отримала доступ до експлойтів, раніше використовуваних лише NSO Group та Intellexa. Експерти розглядають кілька можливих сценаріїв:
- Зламування постачальників комерційного шпигунського ПЗ
- Вербування або підкуп співробітників цих компаній
- Пряма співпраця з компаніями або через посередників
- Придбання експлойтів у брокерів вразливостей, які раніше продавали їх NSO Group та Intellexa як 0-day
Ця ситуація підкреслює складність сучасного ландшафту кіберзагроз, де державні хакерські групи можуть отримувати доступ до передових комерційних інструментів для проведення своїх операцій. Це вимагає від організацій та приватних осіб підвищеної пильності та впровадження багаторівневих систем захисту для мобільних пристроїв. Регулярне оновлення програмного забезпечення, використання надійних систем виявлення загроз та навчання користувачів з питань кібербезпеки стають критично важливими для протидії таким витонченим атакам.