Nos últimos anos, fornecedores de spyware comercial de elite, como Intellexa e NSO Group, desenvolveram uma série de poderosas ferramentas de hacking que exploram vulnerabilidades raras e não corrigidas de software “zero-day” para comprometer dispositivos de vítimas. E cada vez mais, governos ao redor do mundo surgiram como os principais clientes dessas ferramentas, comprometendo os smartphones de líderes de oposição, jornalistas, ativistas, advogados e outros. Na quinta-feira, no entanto, o Grupo de Análise de Ameaças do Google está publicando descobertas sobre uma série de recentes campanhas de hacking – aparentemente realizadas pelo notório APT29 Cozy Bear da Rússia – que incorporam exploits muito semelhantes aos desenvolvidos pela Intellexa e NSO Group em atividades de espionagem em curso.
Entre novembro de 2023 e julho de 2024, os atacantes comprometeram sites do governo mongol e usaram o acesso para realizar ataques de “água envenenada”, nos quais qualquer pessoa com um dispositivo vulnerável que carrega um site comprometido é hackeada. Os atacantes criaram a infraestrutura maliciosa para usar exploits que “eram idênticos ou muito semelhantes aos exploits usados anteriormente pelos fornecedores de espionagem comercial Intellexa e NSO Group”, escreveu o TAG do Google na quinta-feira. Os pesquisadores afirmam ter “avaliado com confiança moderada” que as campanhas foram realizadas pelo APT29.
Essas ferramentas de hacking semelhantes a spyware exploraram vulnerabilidades no iOS da Apple e no Android do Google que já haviam sido corrigidas. Originalmente, foram implantados pelos fornecedores de spyware como exploits zero-day não corrigidos, mas nesta iteração, os suspeitos hackers russos os estavam usando para atacar dispositivos que não haviam sido atualizados com essas correções.
“Embora não saibamos como os suspeitos atores do APT29 adquiriram esses exploits, nossa pesquisa destaca a extensão em que os exploits desenvolvidos pela indústria de espionagem comercial são proliferados para atores de ameaças perigosas”, escreveram os pesquisadores do TAG. “Além disso, os ataques de água envenenada ainda representam uma ameaça, onde exploits sofisticados podem ser utilizados para atingir aqueles que visitam sites regularmente, incluindo em dispositivos móveis. Bombas d’água ainda podem ser um canal eficaz para … segmentar em massa uma população que pode ainda ter navegadores não corrigidos.”
É possível que os hackers tenham comprado e adaptado os exploits de spyware ou que os tenham roubado ou adquirido por vazamento. Também é possível que os hackers tenham sido inspirados por exploits comerciais e feito engenharia reversa neles examinando dispositivos de vítimas infectadas.
“A NSO não vende seus produtos para a Rússia”, disse Gil Lainer, vice-presidente de Comunicações Globais do Grupo NSO, à WIRED em um comunicado. “Nossas tecnologias são vendidas exclusivamente para agências de inteligência e aplicação da lei vetadas pelos EUA e por Israel. Nossos sistemas e tecnologias são altamente seguros e são continuamente monitorados para detectar e neutralizar ameaças externas.”
Entre novembro de 2023 e fevereiro de 2024, os hackers usaram um exploit do iOS e do Safari que era tecnicamente idêntico a um lançamento que a Intellexa havia estreado alguns meses antes como um zero-day não corrigido em setembro de 2023. Em julho de 2024, os hackers também usaram um exploit do Chrome adaptado de uma ferramenta do NSO Group que apareceu pela primeira vez em maio de 2024. Esta última ferramenta de hacking foi usada em combinação com um exploit que tinha fortes semelhanças com um Intellexa lançado em setembro de 2021.
Quando os invasores exploram vulnerabilidades que já foram corrigidas, a atividade é conhecida como “exploração n-day”, porque a vulnerabilidade ainda existe e pode ser abusada em dispositivos não corrigidos com o tempo. Os hackers russos suspeitos incorporaram as ferramentas adjacentes de spyware comercial, mas construíram suas campanhas gerais – incluindo entrega de malware e atividade em dispositivos comprometidos – de forma diferente do cliente típico de spyware comercial faria. Isso indica um nível de fluência e proficiência técnica característico de um grupo de hackers patrocinado pelo Estado estabelecido e bem financiado.
“Em cada iteração das campanhas de água envenenada, os atacantes usaram exploits que eram idênticos ou muito semelhantes a exploits de [fornecedores de vigilância comercial], Intellexa e NSO Group”, escreveu o TAG. “Não sabemos como os atacantes adquiriram esses exploits. O que está claro é que atores de APT estão usando exploits n-day que foram originalmente usados como 0-days por CSVs.”
Atualizado às 14h, horário do leste, em 29 de agosto de 2024: Adicionado comentário do Grupo NSO.
