هکرهای دولتی روسیه با استفاده از اکسپلویت های ساخته شده توسط شرکت های جاسوس افزار NSO و Intellexa پیدا کردند
گوگل او میگوید شواهدی در دست دارد که نشان میدهد هکرهای دولتی روسیه از اکسپلویتهایی «یکسان یا کاملاً مشابه» با مواردی که قبلاً توسط سازندگان جاسوسافزار Intellexa و NSO Group ساخته شدهاند، استفاده میکنند.
گوگل در یک پست وبلاگی در روز پنجشنبه بيان کرد مطمئن نیست که دولت روسیه چگونه این اکسپلویت ها را به دست آورده است، اما بيان کرد این نمونه ای از این است که چگونه اکسپلویت های توسعه یافته توسط سازندگان نرم افزارهای جاسوسی می توانند در دستان "بازیگران تهدید کننده خطرناک" قرار گیرند.
در این مورد، گوگل می گوید عاملان تهدید APT29 هستند، گروهی از هکرها که به طور گسترده به سرویس اطلاعات خارجی روسیه یا SVR نسبت داده می شود. APT29 یک گروه بسیار توانمند از هکرها است که به خاطر کمپین های طولانی مدت و مداوم خود با هدف جاسوسی و سرقت داده ها علیه طیف وسیعی از اهداف از جمله غول های فناوری مایکروسافت و SolarWinds و همچنین دولت های خارجی شناخته شده است.
گوگل اعلام کرد که کد سوء استفاده پنهان را که بین نوامبر 2023 تا ژوئیه 2024 در وب سایت های دولتی مغولستان جاسازی شده بود، پیدا کرده است. در این مدت، هرکسی که با استفاده از آیفون یا دستگاه اندرویدی از این سایت ها بازدید می کرد، ممکن است تلفنش هک شده و داده ها، از جمله رمزهای عبور، به سرقت رفته باشد. به عنوان حمله "چاله آبی" شناخته می شود.
این اکسپلویت ها از آسیب پذیری های موجود در مرورگر سافاری آیفون و گوگل کروم در اندروید استفاده کردند که قبلاً در زمان کمپین مشکوک روسیه برطرف شده بود. با این حال، این سوء استفاده ها می توانند در به خطر انداختن دستگاه های بدون وصله موثر باشند.
بر اساس این پست وبلاگ، سوء استفاده هدف قرار دادن آیفون و آیپد برای سرقت کوکی های حساب کاربری ذخیره شده در سافاری به طور خاص در طیف وسیعی از ارائه دهندگان ایمیل آنلاین که میزبان حساب های شخصی و کاری دولت مغولستان هستند، طراحی شده است. مهاجمان می توانند از کوکی های سرقت شده برای دسترسی به آن حساب های دولتی استفاده کنند. گوگل بيان کرد که این کمپین با هدف هدف قرار دادن دستگاه های اندرویدی از دو سوء استفاده مجزا برای سرقت کوکی های کاربر ذخیره شده در مرورگر کروم استفاده می کند.
محقق امنیت گوگل، کلمنت لسیگن، نویسنده این پست وبلاگ، به TechCrunch بيان کرد که مشخص نیست که هکرهای دولت روسیه چه کسانی را در این کمپین هدف قرار داده اند. او گفت: «اما بر اساس محل میزبانی این اکسپلویت و افرادی که معمولاً از این سایتها بازدید میکنند، ما معتقدیم که کارمندان دولت مغولستان یک هدف احتمالی هستند.
Lecigne که برای گروه تجزیه و تحلیل تهدیدات گوگل، واحد تحقیقات امنیتی که تهدیدات سایبری مورد حمایت دولت را تحلیل می کند، کار می کند، بيان کرد که گوگل استفاده مجدد از این کد را به روسیه مرتبط می کند زیرا محققان قبلاً همان کد سرقت کوکی مورد استفاده توسط APT29 را مشاهده کرده بودند. کمپین در سال 2021
یک سوال کلیدی باقی می ماند: هکرهای دولتی روسیه چگونه ابتدا کد بهره برداری را به دست آوردند؟ گوگل اعلام کرد که هر دو تکرار کمپین آبیاری که دولت مغولستان را هدف قرار می دهد، از کدهایی شبیه یا مشابه بهره برداری از Intellexa و NSO Group استفاده کرده است. این دو شرکت بهخاطر توسعه اکسپلویتهایی که قادر به ارائه نرمافزارهای جاسوسی هستند که میتوانند آیفونهای کاملاً وصلهشده و تلفنهای اندرویدی را به خطر بیندازند، شناخته شدهاند.
گوگل اعلام کرد که کد بهره برداری مورد استفاده در حمله watering hole که کاربران کروم را در اندروید مورد هدف قرار می دهد، با یک اکسپلویت که قبلا توسط NSO Group توسعه داده شده بود، به اشتراک گذاشته شده است. در مورد اکسپلویتی که آیفونها و آیپدها را هدف قرار میدهد، گوگل بيان کرد که این کد دقیقاً از همان ماشهای استفاده میکند که توسط اینتلکسا استفاده میشود، که گوگل بيان کرد قویاً پیشنهاد میکند که نویسندگان یا ارائهدهندگان اکسپلویت «یکسان هستند».
هنگامی که از TechCrunch در مورد استفاده مجدد از کد اکسپلویت پرسیده شد، Lecigne گفت: "ما معتقد نیستیم که بازیگر این اکسپلویت را بازسازی کرده است" و احتمال اینکه این اکسپلویت به طور مستقل توسط هکرهای روسی کشف شده باشد را رد کرد.
Lecigne او میگوید : «احتمالهای متعددی وجود دارد که چگونه میتوانستند همان اکسپلویت را به دست آورند، از جمله خرید آن پس از اصلاح آن یا دزدیدن نسخهای از اکسپلویت از مشتری دیگر».
گوگل اعلام کرد که کاربران باید "به سرعت وصله ها را اعمال کنند" و نرم افزار را به روز نگه دارند تا از حملات سایبری مخرب جلوگیری شود. به گفته Lecigne، کاربران آیفون و آیپد با روشن بودن ویژگی امنیتی بالا، حالت قفل، حتی در هنگام اجرای یک نسخه نرمافزار آسیبپذیر تحت تأثیر قرار نگرفتند.
TechCrunch برای اظهار نظر با سفارت روسیه در واشنگتن دی سی و نمایندگی دائم مغولستان در سازمان ملل متحد در نیویورک تماس گرفت، اما تا زمان مطبوعات پاسخی دریافت ن کرد. Intellexa برای اظهار نظر در دسترس نبود، و NSO Group درخواستی برای اظهار نظر نداد. شین بائر، سخنگوی اپل به درخواست برای اظهار نظر پاسخ نداد.
ارسال نظر