Nos últimos anos, fornecedores de spyware comerciais de elite, como Intellexa e NSO Group, desenvolveram uma variedade de ferramentas de hacking poderosas que exploram vulnerabilidades raras e não corrigidas de software “zero-day” para comprometer dispositivos de vítimas. E cada vez mais, governos ao redor do mundo emergiram como os principais clientes dessas ferramentas, comprometendo os smartphones de líderes de oposição, jornalistas, ativistas, advogados e outros. Na quinta-feira, no entanto, o Google Threat Analysis Group está publicando descobertas sobre uma série de recentes campanhas de hacking – aparentemente realizadas pelo notório grupo APT29 Cozy Bear da Rússia – que incorporam exploits muito semelhantes aos desenvolvidos por Intellexa e NSO Group em atividades de espionagem contínuas.
Entre novembro de 2023 e julho de 2024, os atacantes comprometeram sites do governo da Mongólia e usaram o acesso para conduzir ataques de “watering hole”, nos quais qualquer pessoa com um dispositivo vulnerável que carrega um site comprometido é hackeada. Os atacantes configuraram a infraestrutura maliciosa para usar exploits que “eram idênticos ou surpreendentemente semelhantes aos exploits usados anteriormente pelos fornecedores de spyware comerciais Intellexa e NSO Group”, escreveu o TAG do Google na quinta-feira. Os pesquisadores dizem que “avaliam com uma confiança moderada” que as campanhas foram realizadas por APT29.
Essas ferramentas de hacking semelhantes a spyware exploraram vulnerabilidades no iOS da Apple e no Android do Google que já haviam sido corrigidas. Originalmente, foram implantadas pelos fornecedores de spyware como exploits “zero-day” não corrigidos, mas nessa iteração, os hackers russos suspeitos estavam usando-as para direcionar dispositivos que não haviam sido atualizados com essas correções.
“Embora não tenhamos certeza de como os atores APT29 suspeitos adquiriram esses exploits, nossa pesquisa destaca o quanto os exploits desenvolvidos pela indústria de vigilância comercial são proliferados para ameaças perigosas”, escreveram os pesquisadores TAG. “Além disso, os ataques de watering hole permanecem uma ameaça onde exploits sofisticados podem ser utilizados para visar aqueles que visitam sites regularmente, incluindo em dispositivos móveis. Watering holes ainda podem ser uma maneira eficaz de … segmentar em massa uma população que ainda pode executar navegadores não corrigidos.”
É possível que os hackers tenham comprado e adaptado os exploits de spyware ou que os tenham roubado ou adquirido por meio de um vazamento. Também é possível que os hackers tenham sido inspirados por exploits comerciais e os tenham engenharia reversa examinando dispositivos de vítimas infectadas.
“A NSO não vende seus produtos para a Rússia,” disse Gil Lainer, vice-presidente de comunicações globais do NSO Group, à Wired em um comunicado. “Nossas tecnologias são vendidas exclusivamente para agências de inteligência e aplicação da lei dos EUA e aliadas de Israel pré-selecionadas. Nossos sistemas e tecnologias são altamente seguros e são continuamente monitorados para detectar e neutralizar ameaças externas.”
Entre novembro de 2023 e fevereiro de 2024, os hackers usaram um exploit do iOS e Safari que era tecnicamente idêntico a uma oferta que a Intellexa havia lançado pela primeira vez alguns meses antes como um zero-day não corrigido em setembro de 2023. Em julho de 2024, os hackers também usaram um exploit do Chrome adaptado de uma ferramenta do NSO Group que apareceu pela primeira vez em maio de 2024. Essa última ferramenta de hacking foi usada em combinação com um exploit que tinha fortes semelhanças com um que a Intellexa estreou em setembro de 2021.
Quando os atacantes exploram vulnerabilidades que já foram corrigidas, a atividade é conhecida como “n-day exploitation”, porque a vulnerabilidade ainda existe e pode ser abusada em dispositivos não corrigidos à medida que o tempo passa. Os hackers russos suspeitos incorporaram ferramentas de spyware comerciais adjacentes, mas construíram suas campanhas gerais – incluindo entrega de malware e atividade em dispositivos comprometidos – de maneira diferente do que o típico cliente de spyware comercial faria. Isso indica um nível de fluência e proficiência técnica característico de um grupo de hacking estatal estabelecido e bem financiado.
“Em cada iteração das campanhas de watering hole, os atacantes usaram exploits que eram idênticos ou surpreendentemente semelhantes a exploits de [fornecedores de vigilância comercial], Intellexa e NSO Group,” escreveu o TAG. “Não sabemos como os atacantes adquiriram esses exploits. O que está claro é que os atores APT estão usando exploits n-day que foram originalmente usados como 0-day por CSVs.”
Atualizado às 14h ET, 29 de agosto de 2024: Adicionado comentário do NSO Group.
