Skip to main content

Google TAG: Productos de proveedores comerciales de software espía utilizados por piratas informáticos respaldados por el Kremlin | DKCERT

septiembre 2, 2024


A pesar de las promesas en sentido contrario, los productos de proveedores comerciales de software espía son utilizados por agentes respaldados por el Estado ruso.

El Grupo de Análisis de Amenazas de Google lo dice en un nuevo análisis según artículos de Tech Crunch y Ars Technica.

Si esto es cierto, los críticos de las empresas que venden productos de software espía y exploits tienen razón al afirmar que los productos «inevitablemente llegan a manos de partes maliciosas», como se afirma en la cobertura de Ars Technica, y que esto constituye un «peligro mundial».

En cualquier caso, los analistas de Google han proporcionado pruebas para respaldar las críticas después de descubrir que los actores que trabajaban en nombre del Kremlin utilizaron exploits que son «idénticos o sorprendentemente similares» a los vendidos por los fabricantes de software espía Intellexa y NSO Group. Intellexa y NSO Group también se conocen como vendedores de explotación comercial que tienen su domicilio en, respectivamente. Irlanda e Israel.

La evidencia se encuentra en lo que se llama un «equipo de piratería», que tiene nombres como APT29, Cozy Bear y Midnight Blizzard. Grupos que se cree ampliamente que trabajan en nombre del servicio de inteligencia exterior de Rusia, SVR.

Ataque de pozo de agua

En ese caso particular, Google debe haber encontrado un código de explotación oculto incrustado en sitios web del gobierno de Mongolia entre noviembre de 2023 y julio de 2024. Durante ese tiempo, a cualquiera que visitara esos sitios web utilizando un dispositivo iPhone o Android le podrían haber pirateado el teléfono y le habrían robado datos, incluidos contraseñas, en lo que se conoce como un ataque de «abrevadero». Los ataques a los pozos de agua se caracterizan por plantar subrepticiamente hazañas en lugares que se sabe que reciben visitas frecuentes; luego, los visitantes son infectados con un método prediseñado.

En este caso, se aprovecharon vulnerabilidades en el navegador Safari del iPhone y en Google Chrome en Android, que ya habían sido parcheadas en el momento de la supuesta campaña rusa, pero que aún no habían sido instaladas ampliamente por los usuarios.

Según la publicación del blog de Google TAG, el exploit estaba dirigido a iPhones y iPads y fue diseñado para robar cookies de cuentas de usuario almacenadas en Safari, específicamente en varios proveedores de correo electrónico en línea que alojan cuentas personales y laborales del gobierno de Mongolia. Los atacantes podrían utilizar las cookies robadas para luego obtener acceso a estas cuentas gubernamentales. Una campaña similar se dirigió a dispositivos Android, donde se utilizaron dos exploits separados para robar las cookies de los usuarios almacenadas en el navegador Chrome.

Parece que no hay evidencia directa de que los exploits hayan sido definitivamente adquiridos de Intellaxa o NSO Group. Por lo tanto, se puede afirmar que se trata de una especulación por parte de Google TAG, pero es evidente que TAG tiene un interés estratégico, comercial y político en llamar la atención sobre sus hallazgos. Sin embargo, debería haberse demostrado que en noviembre de 2023, APT29 comprometió los sitios web del gobierno de Mongolia mfa.gov.[.]mn y gabinete.gov[.]mn y planté un enlace que cargaba el código. Fue este código el que podría explotar la vulnerabilidad en cuestión: una falla crítica en el motor del navegador WebKit, CVE-2023-41993. Y que Intellexa utilizó en septiembre de 2023, antes de que se solucionara CVE-2023-41993.

Campo de golf:

https://techcrunch.com/2024/08/29/russian-government-hackers-found-using-exploits-made-by-spyware-companies-nso-and-intellexa/

https://arstechnica.com/security/2024/08/commercial-spyware-vendor-exploits-used-by-kremlin-backed-hackers-google-says/



Source link

Translate »