In den letzten Jahren haben Elite-Spyware-Unternehmen wie Intellexa und NSO Group eine Reihe leistungsstarker Hacking-Tools entwickelt, die seltene und ungepatchte Zero-Day-Software-Schwachstellen ausnutzen, um die Geräte der Opfer zu kompromittieren. Und zunehmend sind Regierungen auf der ganzen Welt die Hauptnutzer dieser Tools und kompromittieren die Smartphones von Oppositionsführern, Journalisten, Aktivisten, Anwälten und anderen. Am Donnerstag veröffentlichte Googles Bedrohungsanalysegruppe jedoch Erkenntnisse aus einer Reihe aktueller Hacking-Kampagnen – offenbar durchgeführt von der berüchtigten russischen APT29 Cozy Bear-Bande –, die Exploits beinhalten, die denen von Intellexa und der NSO Group im Rahmen laufender Spionageaktivitäten sehr ähnlich sind.
Zwischen November 2023 und Juli 2024 haben Angreifer Websites der mongolischen Regierung kompromittiert und den Zugang genutzt, um Watering-Hole-Angriffe durchzuführen, bei denen jeder mit einem anfälligen Gerät, der eine kompromittierte Website lädt, gehackt wird. Die Angreifer richteten die bösartige Infrastruktur so ein, dass sie Exploits nutzten, die „die gleichen oder auffallend ähnlichen Exploits waren, die zuvor von den kommerziellen Überwachungsanbietern Intellexa und NSO Group verwendet wurden“, schrieb Googles TAG am Donnerstag. Die Forscher geben an, dass sie „mit mäßiger Sicherheit davon ausgehen“, dass die Kampagnen von APT29 durchgeführt wurden.
Diese Hacking-Tools im Spyware-Stil nutzten Schwachstellen in Apples iOS und Googles Android aus, die bereits weitgehend gepatcht waren. Sie wurden ursprünglich von Spyware-Anbietern als ungepatchte Zero-Day-Exploits eingesetzt, aber in dieser Version nutzten mutmaßliche russische Hacker sie, um Geräte anzugreifen, die nicht mit diesen Fixes aktualisiert wurden.
„Obwohl wir nicht genau wissen, wie mutmaßliche APT29-Akteure an diese Exploits gelangt sind, zeigt unsere Forschung, in welchem Ausmaß Exploits, die ursprünglich von der kommerziellen Überwachungsindustrie entwickelt wurden, an gefährliche Bedrohungsakteure weitergegeben werden“, schreiben sie. „Darüber hinaus stellen Watering-Hole-Angriffe nach wie vor eine Bedrohung dar, bei denen ausgefeilte Exploits eingesetzt werden können, um diejenigen ins Visier zu nehmen, die regelmäßig Websites besuchen, auch auf Mobilgeräten. „Watering Holes“ können immer noch ein wirksames Mittel sein, um eine Bevölkerungsgruppe massenhaft anzusprechen, die möglicherweise noch ungepatchte Browser verwendet. »
Es ist möglich, dass die Hacker die Spyware-Exploits gekauft und angepasst oder sie gestohlen oder durch ein Leck erworben haben. Es ist auch möglich, dass sich die Hacker von kommerziellen Exploits inspirieren ließen und diese rückentwickelten, indem sie die infizierten Geräte der Opfer untersuchten.
Zwischen November 2023 und Februar 2024 nutzten Hacker einen iOS- und Safari-Exploit, der technisch mit einem Angebot identisch war, das Intellexa einige Monate zuvor als ungepatchtes Zero-Day im September 2023 erstmals auf den Markt gebracht hatte. Im Juli 2024 nutzten die Hacker auch einen Chrome Exploit, adaptiert von einem Tool der NSO Group, das erstmals im Mai 2024 erschien. Dieses neueste Hacking-Tool wurde in Kombination mit einem Exploit verwendet, der starke Ähnlichkeiten mit dem von Intellexa im September 2021 gestarteten Exploit aufwies.
Wenn Hacker Schwachstellen ausnutzen, die bereits gepatcht wurden, spricht man von „N-Day-Exploitation“, da die Schwachstelle immer noch besteht und im Laufe der Zeit auf nicht gepatchten Geräten ausgenutzt werden kann. Die mutmaßlichen russischen Hacker integrierten kommerzielle Spyware-nahe Tools, gestalteten ihre Gesamtkampagnen (einschließlich der Verbreitung von Malware und Aktivitäten auf kompromittierten Geräten) jedoch anders als der typische kommerzielle Spyware-Client. Dies weist auf ein Maß an Meisterschaft und technischer Kompetenz hin, das für eine etablierte, gut ausgestattete und staatlich unterstützte Hackergruppe charakteristisch ist.
„In jeder Iteration der Watering-Hole-Kampagnen nutzten die Angreifer Exploits, die mit den Exploits von identisch oder auffallend ähnlich waren [commercial surveillance vendors]„Wir wissen nicht, wie die Angreifer an diese Exploits gelangt sind. Klar ist, dass APT-Akteure N-Day-Exploits nutzen, die ursprünglich als 0-Day-Exploits von CSVs genutzt wurden“, schrieb TAG.