O grupo de hackers patrocinado pelo estado russo, APT29, também conhecido como "Midnight Blizzard", foi observado utilizando os mesmos exploits para iOS e Android criados por fornecedores de spyware comercial em uma série de ataques cibernéticos entre novembro de 2023 e julho de 2024.
A atividade foi descoberta pelo Grupo de Análise de Ameaças (TAG) do Google, que informou que as falhas n-day já foram corrigidas, mas continuam efetivas em dispositivos que não foram atualizados.
O APT29 mirou em múltiplos sites do governo mongol e empregou táticas de "watering hole".
Um "watering hole" é um ataque cibernético onde um site legítimo é comprometido com código malicioso desenhado para entregar payloads a visitantes que atendem a critérios específicos, como arquitetura do dispositivo ou localização (baseada em IP).
Curiosamente, o TAG observa que o APT29 usou exploits quase idênticos aos usados por vendedores de vigilância comercial como NSO Group e Intellexa, que criaram e exploraram as falhas como zero- days quando não havia correção disponível.
Os analistas de ameaças do Google notam que o APT29 tem um longo histórico de exploração de vulnerabilidades zero-day e n-day.
Em 2021, os ciberoperativos russos exploraram o
CVE-2021-1879
como um zero-day, visando oficiais do governo no Leste Europeu, tentando entregar um framework de roubo de cookies que interceptava contas do LinkedIn, Gmail e Facebook.
Em novembro de 2023, o APT29 comprometeu sites do governo mongol 'mfa.gov[.]mn' e 'cabinet.gov[.]mn' para adicionar um iframe malicioso que entregava um exploit para o
CVE-2023-41993
.
Essa é uma falha no iOS WebKit que o APT29 aproveitou para roubar cookies de navegador de usuários de iPhone rodando o iOS 16.6.1 e versões anteriores.
O TAG relata que esse exploit foi exatamente o mesmo que o Intellexa usou em setembro de 2023, explorando o
CVE-2023-41993
como uma vulnerabilidade zero-day na época.
Em fevereiro de 2024, o APT29 comprometeu outro site do governo mongol, 'mga.gov[.]mn', para injetar um novo iframe entregando o mesmo exploit.
Em julho de 2024, o APT29 aproveitou exploits para o CVE-2024-5274 e CVE-2024-4671, impactando o Google Chrome, para atacar usuários de Android visitando 'mga.gov[.]mn'.
O objetivo era roubar cookies, senhas e outros dados sensíveis armazenados no navegador Chrome das vítimas.
O exploit usado para o CVE-2024-5274 é uma versão ligeiramente modificada daquela que o NSO Group usou para exploração de zero-day em maio de 2024, enquanto o exploit para o CVE-2024-4671 apresentou muitas semelhanças com exploits anteriores do Intellexa.
É desconhecido como os hackers do APT29 ganharam acesso aos exploits anteriormente conhecidos apenas pelo NSO Group e Intellexa.
No entanto, a criação própria de seus exploits com as informações limitadas parece improvável.
Explicações possíveis incluem o APT29 hackeando fornecedores de spyware, recrutando ou subornando insiders desonestos trabalhando nessas empresas ou mantendo uma colaboração direta ou via intermediário.
Outra possibilidade é a compra de um corretor de vulnerabilidades que anteriormente os vendeu para empresas de vigilância como zero-days.
Independentemente de como esses exploits alcançam grupos de ameaças sofisticados apoiados pelo estado, o problema chave é que eles chegam.
Isso torna ainda mais crítica a rápida resposta a vulnerabilidades zero-day rotuladas como 'de exploração em escopo limitado' em avisos—muito mais urgente do que os usuários comuns podem perceber.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...