گوگل او میگوید شواهدی در دست دارد که نشان می‌دهد هکرهای دولتی روسیه از اکسپلویت‌هایی «یکسان یا کاملاً مشابه» با مواردی که قبلاً توسط سازندگان جاسوس‌افزار Intellexa و NSO Group ساخته شده‌اند، استفاده می‌کنند.

گوگل در یک پست وبلاگی در روز پنجشنبه بيان کرد مطمئن نیست که دولت روسیه چگونه این اکسپلویت ها را به دست آورده است، اما بيان کرد این نمونه ای از این است که چگونه اکسپلویت های توسعه یافته توسط سازندگان نرم افزارهای جاسوسی می توانند در دستان "بازیگران تهدید کننده خطرناک" قرار گیرند.

در این مورد، گوگل می گوید عاملان تهدید APT29 هستند، گروهی از هکرها که به طور گسترده به سرویس اطلاعات خارجی روسیه یا SVR نسبت داده می شود. APT29 یک گروه بسیار توانمند از هکرها است که به خاطر کمپین های طولانی مدت و مداوم خود با هدف جاسوسی و سرقت داده ها علیه طیف وسیعی از اهداف از جمله غول های فناوری مایکروسافت و SolarWinds و همچنین دولت های خارجی شناخته شده است.

گوگل اعلام کرد که کد سوء استفاده پنهان را که بین نوامبر 2023 تا ژوئیه 2024 در وب سایت های دولتی مغولستان جاسازی شده بود، پیدا کرده است. در این مدت، هرکسی که با استفاده از آیفون یا دستگاه اندرویدی از این سایت ها بازدید می کرد، ممکن است تلفنش هک شده و داده ها، از جمله رمزهای عبور، به سرقت رفته باشد. به عنوان حمله "چاله آبی" شناخته می شود.

این اکسپلویت ها از آسیب پذیری های موجود در مرورگر سافاری آیفون و گوگل کروم در اندروید استفاده کردند که قبلاً در زمان کمپین مشکوک روسیه برطرف شده بود. با این حال، این سوء استفاده ها می توانند در به خطر انداختن دستگاه های بدون وصله موثر باشند.

بر اساس این پست وبلاگ، سوء استفاده هدف قرار دادن آیفون و آیپد برای سرقت کوکی های حساب کاربری ذخیره شده در سافاری به طور خاص در طیف وسیعی از ارائه دهندگان ایمیل آنلاین که میزبان حساب های شخصی و کاری دولت مغولستان هستند، طراحی شده است. مهاجمان می توانند از کوکی های سرقت شده برای دسترسی به آن حساب های دولتی استفاده کنند. گوگل بيان کرد که این کمپین با هدف هدف قرار دادن دستگاه های اندرویدی از دو سوء استفاده مجزا برای سرقت کوکی های کاربر ذخیره شده در مرورگر کروم استفاده می کند.

محقق امنیت گوگل، کلمنت لسیگن، نویسنده این پست وبلاگ، به TechCrunch بيان کرد که مشخص نیست که هکرهای دولت روسیه چه کسانی را در این کمپین هدف قرار داده اند. او گفت: «اما بر اساس محل میزبانی این اکسپلویت و افرادی که معمولاً از این سایت‌ها بازدید می‌کنند، ما معتقدیم که کارمندان دولت مغولستان یک هدف احتمالی هستند.

Lecigne که برای گروه تجزیه و تحلیل تهدیدات گوگل، واحد تحقیقات امنیتی که تهدیدات سایبری مورد حمایت دولت را تحلیل می کند، کار می کند، بيان کرد که گوگل استفاده مجدد از این کد را به روسیه مرتبط می کند زیرا محققان قبلاً همان کد سرقت کوکی مورد استفاده توسط APT29 را مشاهده کرده بودند. کمپین در سال 2021

از مجموعه سرویس اطلاعات خارجی روسیه." class="wp-image-2088417" srcset="https://techcrunch.com/wp-content/uploads/2020/12/GettyImages-102512514.jpg 2841w, https://techcrunch.com/wp-content/uploads/2020/12/GettyImages-102512514.jpg?resize=150,147 150w, https://techcrunch.com/wp-content/uploads/2020/12/GettyImages-102512514.jpg?resize=300,294 300w, https://techcrunch.com/wp-content/uploads/2020/12/GettyImages-102512514.jpg?resize=768,752 768w, https://techcrunch.com/wp-content/uploads/2020/12/GettyImages-102512514.jpg?resize=680,666 680w, https://techcrunch.com/wp-content/uploads/2020/12/GettyImages-102512514.jpg?resize=1200,1175 1200w, https://techcrunch.com/wp-content/uploads/2020/12/GettyImages-102512514.jpg?resize=1280,1253 1280w, https://techcrunch.com/wp-content/uploads/2020/12/GettyImages-102512514.jpg?resize=430,421 430w, https://techcrunch.com/wp-content/uploads/2020/12/GettyImages-102512514.jpg?resize=720,705 720w, https://techcrunch.com/wp-content/uploads/2020/12/GettyImages-102512514.jpg?resize=900,881 900w, https://techcrunch.com/wp-content/uploads/2020/12/GettyImages-102512514.jpg?resize=800,783 800w, https://techcrunch.com/wp-content/uploads/2020/12/GettyImages-102512514.jpg?resize=1536,1504 1536w, https://techcrunch.com/wp-content/uploads/2020/12/GettyImages-102512514.jpg?resize=2048,2005 2048w" sizes="(max-width: 2841px) 100vw, 2841px">

یک سوال کلیدی باقی می ماند: هکرهای دولتی روسیه چگونه ابتدا کد بهره برداری را به دست آوردند؟ گوگل اعلام کرد که هر دو تکرار کمپین آبیاری که دولت مغولستان را هدف قرار می دهد، از کدهایی شبیه یا مشابه بهره برداری از Intellexa و NSO Group استفاده کرده است. این دو شرکت به‌خاطر توسعه اکسپلویت‌هایی که قادر به ارائه نرم‌افزارهای جاسوسی هستند که می‌توانند آیفون‌های کاملاً وصله‌شده و تلفن‌های اندرویدی را به خطر بیندازند، شناخته شده‌اند.

گوگل اعلام کرد که کد بهره برداری مورد استفاده در حمله watering hole که کاربران کروم را در اندروید مورد هدف قرار می دهد، با یک اکسپلویت که قبلا توسط NSO Group توسعه داده شده بود، به اشتراک گذاشته شده است. در مورد اکسپلویتی که آیفون‌ها و آی‌پدها را هدف قرار می‌دهد، گوگل بيان کرد که این کد دقیقاً از همان ماشه‌ای استفاده می‌کند که توسط اینتلکسا استفاده می‌شود، که گوگل بيان کرد قویاً پیشنهاد می‌کند که نویسندگان یا ارائه‌دهندگان اکسپلویت «یکسان هستند».

هنگامی که از TechCrunch در مورد استفاده مجدد از کد اکسپلویت پرسیده شد، Lecigne گفت: "ما معتقد نیستیم که بازیگر این اکسپلویت را بازسازی کرده است" و احتمال اینکه این اکسپلویت به طور مستقل توسط هکرهای روسی کشف شده باشد را رد کرد.

Lecigne او میگوید : «احتمال‌های متعددی وجود دارد که چگونه می‌توانستند همان اکسپلویت را به دست آورند، از جمله خرید آن پس از اصلاح آن یا دزدیدن نسخه‌ای از اکسپلویت از مشتری دیگر».

گوگل اعلام کرد که کاربران باید "به سرعت وصله ها را اعمال کنند" و نرم افزار را به روز نگه دارند تا از حملات سایبری مخرب جلوگیری شود. به گفته Lecigne، کاربران آیفون و آی‌پد با روشن بودن ویژگی امنیتی بالا، حالت قفل، حتی در هنگام اجرای یک نسخه نرم‌افزار آسیب‌پذیر تحت تأثیر قرار نگرفتند.

TechCrunch برای اظهار نظر با سفارت روسیه در واشنگتن دی سی و نمایندگی دائم مغولستان در سازمان ملل متحد در نیویورک تماس گرفت، اما تا زمان مطبوعات پاسخی دریافت ن کرد. Intellexa برای اظهار نظر در دسترس نبود، و NSO Group درخواستی برای اظهار نظر نداد. شین بائر، سخنگوی اپل به درخواست برای اظهار نظر پاسخ نداد.

خبرکاو