O grupo de hackers patrocinado pelo estado russo, APT29, também conhecido como "Midnight Blizzard", foi observado utilizando os mesmos exploits para iOS e Android criados por fornecedores de spyware comercial em uma série de ataques cibernéticos entre novembro de 2023 e julho de 2024.
A atividade foi descoberta pelo Grupo de Análise de Ameaças (TAG) do Google, que informou que as falhas n-day já foram corrigidas, mas continuam efetivas em dispositivos que não foram atualizados.
O APT29 mirou em múltiplos sites do governo mongol e empregou táticas de "watering hole".
Um "watering hole" é um ataque cibernético onde um site legítimo é comprometido com código malicioso desenhado para entregar payloads a visitantes que atendem a critérios específicos, como arquitetura do dispositivo ou localização (baseada em IP).
Curiosamente, o TAG observa que o APT29 usou exploits quase idênticos aos usados por vendedores de vigilância comercial como NSO Group e Intellexa, que criaram e exploraram as falhas como zero- days quando não havia correção disponível.
Os analistas de ameaças do Google notam que o APT29 tem um longo histórico de exploração de vulnerabilidades zero-day e n-day.
Em 2021, os ciberoperativos russos exploraram o
CVE-2021-1879
como um zero-day, visando oficiais do governo no Leste Europeu, tentando entregar um framework de roubo de cookies que interceptava contas do LinkedIn, Gmail e Facebook.
Em novembro de 2023, o APT29 comprometeu sites do governo mongol 'mfa.gov[.]mn' e 'cabinet.gov[.]mn' para adicionar um iframe malicioso que entregava um exploit para o
CVE-2023-41993
.
Essa é uma falha no iOS WebKit que o APT29 aproveitou para roubar cookies de navegador de usuários de iPhone rodando o iOS 16.6.1 e versões anteriores.
O TAG relata que esse exploit foi exatamente o mesmo que o Intellexa usou em setembro de 2023, explorando o
CVE-2023-41993
como uma vulnerabilidade zero-day na época.
Em fevereiro de 2024, o APT29 comprometeu outro site do governo mongol, 'mga.gov[.]mn', para injetar um novo iframe entregando o mesmo exploit.
Em julho de 2024, o APT29 aproveitou exploits para o CVE-2024-5274 e CVE-2024-4671, impactando o Google Chrome, para atacar usuários de Android visitando 'mga.gov[.]mn'.
O objetivo era roubar cookies, senhas e outros dados sensíveis armazenados no navegador Chrome das vítimas.
O exploit usado para o CVE-2024-5274 é uma versão ligeiramente modificada daquela que o NSO Group usou para exploração de zero-day em maio de 2024, enquanto o exploit para o CVE-2024-4671 apresentou muitas semelhanças com exploits anteriores do Intellexa.
É desconhecido como os hackers do APT29 ganharam acesso aos exploits anteriormente conhecidos apenas pelo NSO Group e Intellexa.
No entanto, a criação própria de seus exploits com as informações limitadas parece improvável.
Explicações possíveis incluem o APT29 hackeando fornecedores de spyware, recrutando ou subornando insiders desonestos trabalhando nessas empresas ou mantendo uma colaboração direta ou via intermediário.
Outra possibilidade é a compra de um corretor de vulnerabilidades que anteriormente os vendeu para empresas de vigilância como zero-days.
Independentemente de como esses exploits alcançam grupos de ameaças sofisticados apoiados pelo estado, o problema chave é que eles chegam.
Isso torna ainda mais crítica a rápida resposta a vulnerabilidades zero-day rotuladas como 'de exploração em escopo limitado' em avisos—muito mais urgente do que os usuários comuns podem perceber.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...