Nos últimos anos, fornecedores de spyware comercial de elite como a Intellexa e o NSO Group desenvolveram uma variedade de poderosas ferramentas de hacking que exploram raras e não-corrigidas vulnerabilidades de software “zero-day” para comprometer dispositivos das vítimas.
E, cada vez mais, governos ao redor do mundo se tornaram os principais clientes dessas ferramentas, comprometendo os smartphones de líderes da oposição, jornalistas, ativistas, advogados e outros.
Porém, na quinta-feira(11), o Threat Analysis Group da Google está publicando descobertas sobre uma série de campanhas de hacking recentes — aparentemente conduzidas pela notória gangue APT29 Cozy Bear da Rússia — que incorporam exploits muito similares aos desenvolvidos pela Intellexa e NSO Group em atividades contínuas de espionagem.
Entre novembro de 2023 e julho de 2024, os atacantes comprometeram websites do governo da Mongólia e usaram o acesso para conduzir ataques “watering hole”, nos quais qualquer pessoa com um dispositivo vulnerável que carregue um site comprometido é hackeado.
Os atacantes montaram a infraestrutura maliciosa para usar exploits que “eram idênticos ou surpreendentemente similares aos exploits anteriormente usados pelos fornecedores comerciais de vigilância Intellexa e NSO Group”, escreveu o TAG da Google na quinta-feira(11).
Os pesquisadores dizem que “avaliam com moderada confiança” que as campanhas foram realizadas pela APT29.
Essas ferramentas de hacking estilo spyware exploravam vulnerabilidades no iOS da Apple e no Android do Google que, em grande parte, já haviam sido corrigidas.
Originalmente, elas foram implantadas pelos fornecedores de spyware como exploits zero-day não corrigidos, mas nesta iteração, os supostos hackers russos estavam usando-os para mirar em dispositivos que não haviam sido atualizados com essas correções.
“Embora estejamos incertos sobre como os supostos atores da APT29 adquiriram esses exploits, nossa pesquisa sublinha a extensão com que exploits primeiro desenvolvidos pela indústria de vigilância comercial são proliferados para atores de ameaças perigosas,” escreveram os pesquisadores do TAG.
Além disso, ataques watering hole permanecem uma ameaça onde exploits sofisticados podem ser utilizados para mirar aqueles que visitam sites regularmente, incluindo em dispositivos móveis.
Watering holes ainda podem ser uma avenida efetiva para mirar em massa uma população que ainda pode executar navegadores não atualizados.
É possível que os hackers tenham comprado e adaptado os exploits de spyware ou que eles os tenham roubado ou adquirido através de um vazamento.
Também é possível que os hackers tenham sido inspirados por exploits comerciais e os tenham engenharia reversa examinando dispositivos de vítimas infectadas.
“NSO não vende seus produtos para a Rússia,” disse Gil Lainer, vice-presidente de comunicações globais do NSO Group, em uma declaração.
Nossas tecnologias são vendidas exclusivamente para agências de inteligência e aplicação da lei avaliadas dos EUA e aliados de Israel.
Nossos sistemas e tecnologias são altamente seguros e são continuamente monitorados para detectar e neutralizar ameaças externas.
Entre novembro de 2023 e fevereiro de 2024, os hackers usaram um exploit iOS e Safari que era tecnicamente idêntico a uma oferta que a Intellexa havia lançado primeiro alguns meses antes como um zero-day não corrigido em setembro de 2023.
Em julho de 2024, os hackers também usaram um exploit do Chrome adaptado de uma ferramenta do NSO Group que apareceu pela primeira vez em maio de 2024.
Esta última ferramenta de hacking foi usada em combinação com um exploit que tinha fortes semelhanças com um que a Intellexa lançou em setembro de 2021.
Quando atacantes exploram vulnerabilidades que já foram corrigidas, a atividade é conhecida como “exploitation n-day”, porque a vulnerabilidade ainda existe e pode ser abusada em dispositivos não atualizados conforme o tempo passa.
Os hackers russos suspeitos incorporaram as ferramentas adjacentes ao spyware comercial, mas construíram suas campanhas gerais — incluindo a entrega de malware e atividade em dispositivos comprometidos — de maneira diferente daquele que um cliente de spyware comercial típico faria.
Isso indica um nível de fluência e proficiência técnica característica de um grupo de hacking apoiado pelo estado, estabelecido e bem financiado.
“Em cada iteração das campanhas watering hole, os atacantes usaram exploits que eram idênticos ou surpreendentemente similares a exploits de [fornecedores comerciais de vigilância], Intellexa e NSO Group,” escreveu o TAG.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...