Google發現了令人震驚的證據,表明俄羅斯政府黑客正在使用與臭名昭著的間諜軟件製造商Intellexa和NSO Group密切相關的複雜漏洞。
這家技術巨頭在8月29日星期四的博客文章中揭示了這一令人不安的發現,這揭示了國家贊助的網絡攻擊日益嚴重的威脅。
俄羅斯黑客利用間諜軟件利用
Google的威脅分析小組(TAG)確定俄羅斯網絡間諜組APT29正在部署與Intellexa和NSO集團創建的漏洞相同或非常相似的漏洞。
APT29與俄羅斯的外國情報服務(SVR)廣泛相關,以其針對外國政府,科技公司和其他高價值實體的持續且高技能的運動而聞名。
俄羅斯政府獲得這些強大的利用的確切方法尚不清楚。但是,Google強調,這種情況強調了間諜軟件代碼落入惡意演員手中的危險。
澆水洞攻擊目標蒙古政府
Google的調查表明,這些漏洞是在2023年11月至2024年7月之間嵌入蒙古政府網站中的。使用iPhone或Android設備對這些網站的訪問者有可能在“澆水孔”中折斷其設備在“澆水孔”攻擊中遭到損害的風險 - 這種戰術是攻擊者感染了目標可能由目標訪問的攻擊者。
這些漏洞利用了iPhone的Safari瀏覽器和Android設備上的Google Chrome中的已知漏洞。儘管這些漏洞在俄羅斯運動時期已經修補,但未撥動的設備仍然容易受到攻擊。
特定目標和攻擊方法
針對iPhone和iPad的攻擊旨在竊取存儲在Safari瀏覽器中的用戶帳戶cookie,尤其是與蒙古政府使用的在線電子郵件提供商相關的攻擊。這些被盜的餅乾可以使攻擊者未經授權訪問政府帳戶。
對於Android設備,攻擊者採用了兩個不同的漏洞來竊取存儲在Chrome瀏覽器中的Cookie。 Google的研究人員將此曲奇偷守則的重複使用與APT29聯繫起來,理由是該小組在2021年使用的類似策略的先前觀察結果。
未解決的問題:俄羅斯如何獲得利用?
Google的發現引起的最緊迫的問題之一是俄羅斯政府黑客如何獲得了漏洞代碼。
Safari和Chrome的利用都非常類似於Intellexa和NSO集團開發的公司,該公司以創建而聞名間諜軟件能夠妥協甚至完全修補的設備。
Google的分析表明,澆水孔攻擊中使用的利用代碼與NSO Group開發的早期利用相同。此外,針對iPhone和iPad的代碼還利用了Intellexa創建的“完全相同的觸發器”,強烈表明涉及相同的作者或提供商。
根據Google的安全研究人員Clement Lecigne的說法,該團隊不認為國家贊助的黑客重新創建了漏洞。
Lecigne告訴Lecigne:“關於他們如何獲得相同的利用,包括在修補或從另一個客戶那裡竊取利用副本後購買的可能性。”TechCrunch。
保持更新的重要性
Google強調了保持軟件最新以防止此類網絡攻擊的重要性。用戶應迅速應用補丁以保護其設備免受已知漏洞的影響。
有趣的是,iPhone和iPad用戶具有Apple高安全性鎖定模式據報導,啟用不受攻擊的影響,即使他們正在運行脆弱的軟件版本。
