En los últimos años, los proveedores de software espía comerciales de élite como Intellexa y NSO Group han desarrollado una serie de potentes herramientas de piratería que explotan vulnerabilidades de software de “día cero” poco comunes y sin parches para comprometer los dispositivos de las víctimas. Y cada vez más, los gobiernos alrededor del mundo han surgido como el clientes principales Para estas herramientas, se han comprometido los teléfonos inteligentes de líderes de la oposición, periodistas, activistas, abogados y otros. Sin embargo, el jueves, el Grupo de Análisis de Amenazas de Google publicación de hallazgos sobre una serie de recientes campañas de piratería informática, aparentemente llevadas a cabo por la famosa banda rusa APT29 Cozy Bear, que incorporan exploits muy similares a los desarrollados por Intellexa y NSO Group en su actividad de espionaje en curso.
Entre noviembre de 2023 y julio de 2024, los atacantes comprometieron los sitios web del gobierno de Mongolia y utilizaron el acceso para realizar Ataques de “abrevadero”en el que cualquier persona con un dispositivo vulnerable que cargue un sitio web comprometido es atacada. Los atacantes configuraron la infraestructura maliciosa para utilizar exploits que “eran idénticos o sorprendentemente similares a los exploits utilizados anteriormente por los proveedores de vigilancia comercial Intellexa y NSO Group”, escribió el jueves TAG de Google. Los investigadores dicen que “evalúan con moderada confianza” que las campañas fueron llevadas a cabo por APT29.
Estas herramientas de piratería informática, similares a programas espía, explotaban vulnerabilidades en iOS de Apple y Android de Google que ya habían sido parcheadas en gran medida. Originalmente, los proveedores de programas espía las utilizaban como exploits de día cero sin parchear, pero en esta iteración, los presuntos piratas informáticos rusos las utilizaban para atacar dispositivos que no habían sido actualizados con estas correcciones.
“Si bien no estamos seguros de cómo los presuntos actores de APT29 adquirieron estos exploits, nuestra investigación destaca hasta qué punto los exploits desarrollados inicialmente por la industria de la vigilancia comercial se propagan a actores de amenazas peligrosas”, escribieron los investigadores de TAG. “Además, los ataques de abrevadero siguen siendo una amenaza en la que se pueden utilizar exploits sofisticados para atacar a quienes visitan sitios regularmente, incluso en dispositivos móviles. Los abrevaderos aún pueden ser una vía eficaz para… atacar masivamente a una población que aún podría utilizar navegadores sin parches”.
Es posible que los piratas informáticos hayan comprado y adaptado los exploits del software espía, o que los hayan robado o adquirido a través de una filtración. También es posible que los piratas informáticos se hayan inspirado en exploits comerciales y los hayan diseñado a la inversa examinando los dispositivos infectados de las víctimas.
Entre noviembre de 2023 y febrero de 2024, los piratas informáticos utilizaron un exploit de iOS y Safari que era técnicamente idéntico a una oferta que Intellexa había presentado por primera vez un par de meses antes como un día cero sin parchear en septiembre de 2023. En julio de 2024, los piratas informáticos también utilizaron un exploit de Chrome adaptado de una herramienta de NSO Group que apareció por primera vez en mayo de 2024. Esta última herramienta de piratería se utilizó en combinación con un exploit que tenía fuertes similitudes con uno que Intellexa presentó en septiembre de 2021.
Cuando los atacantes explotan vulnerabilidades que ya han sido parcheadas, la actividad se conoce como “explotación de día n”, porque la vulnerabilidad todavía existe y puede ser utilizada de manera abusiva en dispositivos sin parchear con el paso del tiempo. Los presuntos piratas informáticos rusos incorporaron las herramientas comerciales adyacentes al software espía, pero diseñaron sus campañas generales (incluida la distribución de malware y la actividad en dispositivos comprometidos) de manera diferente a como lo haría el cliente típico de software espía comercial. Esto indica un nivel de fluidez y competencia técnica característico de un grupo de piratas informáticos establecido y con buenos recursos respaldado por el estado.
“En cada iteración de las campañas de watering hole, los atacantes utilizaron exploits que eran idénticos o sorprendentemente similares a los exploits de (los proveedores de vigilancia comercial), Intellexa y NSO Group”, escribió TAG. “No sabemos cómo los atacantes adquirieron estos exploits. Lo que está claro es que los actores de APT están utilizando exploits de día n que originalmente fueron utilizados como días 0 por CSV”.
