Nos últimos anos, fornecedores de spyware comercial de elite como Intellexa e NSO Group desenvolveram uma série de ferramentas de hacking poderosas que exploram vulnerabilidades de software raras e não corrigidas de “dia zero” para comprometer os dispositivos das vítimas. E cada vez mais, governos ao redor do mundo surgiram como os principais clientes dessas ferramentas, comprometendo os smartphones de líderes da oposição, jornalistas, ativistas, advogados e outros. Na quinta-feira, no entanto, o Threat Analysis Group do Google está publicando descobertas sobre uma série de campanhas recentes de hackers — aparentemente realizadas pela notória gangue russa APT29 Cozy Bear — que incorporam explorações muito semelhantes às desenvolvidas pela Intellexa e pelo NSO Group em atividades de espionagem em andamento.
Entre novembro de 2023 e julho de 2024, os invasores comprometeram sites do governo da Mongólia e usaram o acesso para conduzir ataques de “watering hole”, nos quais qualquer pessoa com um dispositivo vulnerável que carregue um site comprometido é hackeada. Os invasores configuraram a infraestrutura maliciosa para usar exploits que “eram idênticos ou surpreendentemente semelhantes aos exploits usados anteriormente pelos fornecedores de vigilância comercial Intellexa e NSO Group”, escreveu o TAG do Google na quinta-feira. Os pesquisadores dizem que “avaliam com confiança moderada” que as campanhas foram realizadas pelo APT29.
Essas ferramentas de hacking estilo spyware exploravam vulnerabilidades no iOS da Apple e no Android do Google que já tinham sido amplamente corrigidas. Originalmente, elas foram implantadas pelos fornecedores de spyware como exploits de dia zero sem correção, mas nesta iteração, os supostos hackers russos as estavam usando para atingir dispositivos que não tinham sido atualizados com essas correções.
“Embora não tenhamos certeza de como os supostos atores do APT29 adquiriram esses exploits, nossa pesquisa ressalta a extensão em que os exploits desenvolvidos inicialmente pela indústria de vigilância comercial são proliferados para atores de ameaças perigosas”, escreveram os pesquisadores do TAG. “Além disso, os ataques de watering hole continuam sendo uma ameaça em que exploits sofisticados podem ser utilizados para atingir aqueles que visitam sites regularmente, incluindo em dispositivos móveis. Os watering holes ainda podem ser uma via eficaz para… atingir em massa uma população que ainda pode executar navegadores sem patches.”
É possível que os hackers tenham comprado e adaptado os exploits de spyware ou que eles os tenham roubado ou adquirido por meio de um vazamento. Também é possível que os hackers tenham se inspirado em exploits comerciais e feito engenharia reversa neles examinando dispositivos de vítimas infectadas.
Entre novembro de 2023 e fevereiro de 2024, os hackers usaram um exploit do iOS e do Safari que era tecnicamente idêntico a uma oferta que a Intellexa havia lançado alguns meses antes como um zero-day sem patch em setembro de 2023. Em julho de 2024, os hackers também usaram um exploit do Chrome adaptado de uma ferramenta do NSO Group que apareceu pela primeira vez em maio de 2024. Esta última ferramenta de hacking foi usada em combinação com um exploit que tinha fortes semelhanças com um que a Intellexa lançou em setembro de 2021.
Quando os invasores exploram vulnerabilidades que já foram corrigidas, a atividade é conhecida como “exploração n-day”, porque a vulnerabilidade ainda existe e pode ser abusada em dispositivos não corrigidos com o passar do tempo. Os supostos hackers russos incorporaram as ferramentas comerciais adjacentes ao spyware, mas construíram suas campanhas gerais — incluindo entrega de malware e atividade em dispositivos comprometidos — de forma diferente do que o cliente típico de spyware comercial faria. Isso indica um nível de fluência e proficiência técnica característico de um grupo de hackers apoiado pelo estado, estabelecido e bem-recursos.
“Em cada iteração das campanhas de watering hole, os invasores usaram exploits que eram idênticos ou surpreendentemente similares aos exploits de (fornecedores de vigilância comercial), Intellexa e NSO Group”, escreveu o TAG. “Não sabemos como os invasores adquiriram esses exploits. O que está claro é que os atores do APT estão usando exploits de n-day que foram originalmente usados como 0-days por CSVs.”
