谷歌表示,他们有证据表明俄罗斯政府黑客正在使用与之前由间谍软件制造商Intellexa和NSO Group制作的“相同或非常相似”的漏洞攻击。
谷歌在周四的博客文章中表示,他们不确定俄罗斯政府是如何获取这些漏洞攻击的,但表示这是间谍软件制造商制作的漏洞可能会落入“危险的威胁行动者”手中的一个例子。
根据这一情况,谷歌表示,这些威胁行动者是APT29,这是一群黑客,广泛认为是俄罗斯外国情报局或SVR的成员。 APT29是一群极具能力的黑客,以进行间谍活动和数据窃取为目标,其长期而持久的行动针对技术巨头微软和SolarWinds以及外国政府等一系列目标。
谷歌表示,他们在2023年11月至2024年7月期间在蒙古政府网站上发现了隐藏的漏洞攻击代码。在这段时间内,任何使用iPhone或Android设备访问这些网站的人可能会遭受手机被黑客攻击和数据被窃取的风险,包括密码,这被称为“打水漂”攻击。
这些漏洞攻击利用了iPhone的Safari浏览器和Android上的Google Chrome中的漏洞,这些漏洞在涉嫌俄罗斯活动时已经修复。尽管如此,这些漏洞攻击仍可能有效地影响未打过补丁的设备。
根据该博客文章,针对iPhone和iPad的漏洞攻击旨在窃取存储在Safari中的用户帐户cookie,特别是针对托管蒙古政府个人和工作帐户的一系列在线电子邮件提供商。攻击者可以使用窃取的cookie访问这些政府帐户。谷歌表示,旨在针对使用Android设备的用户的活动使用了两种不同的漏洞攻击一起窃取存储在Chrome浏览器中的用户cookie。
编写了该博客文章的谷歌安全研究员克莱门特·勒西涅告诉TechCrunch,目前尚不清楚俄罗斯政府黑客在这次活动中的目标是谁。“但根据漏洞攻击的托管位置和通常会访问这些网站的人群,我们认为蒙古政府雇员是可能的目标,”他说。
勒西涅是谷歌威胁分析组的一名研究员,该团队负责调查政府支持的网络威胁,他表示,谷歌将重复使用的代码与俄罗斯联系在一起,因为研究人员在早前的一次行动中观察到了APT29使用相同的窃取cookie的代码。
一个关键问题仍然存在:俄罗斯政府黑客如何获取漏洞攻击代码?谷歌表示,针对蒙古政府的两次“打水漂”活动使用了与Intellexa和NSO Group制造的漏洞攻击非常相似或相匹配的代码。这两家公司都以开发能够传递间谍软件的漏洞攻击而闻名,这些软件可以危及经过充分打过补丁的iPhone和Android手机。
谷歌表示,用于针对Android上的Chrome用户的漏洞攻击代码与NSO Group早期开发的漏洞攻击共享了“非常相似的触发器”。至于针对iPhone和iPad的漏洞攻击,谷歌表示,该代码使用了与Intellexa使用的“完全相同的触发器”,谷歌表示这强烈暗示漏洞攻击的作者或提供者“是相同的”。
当TechCrunch询问漏洞攻击代码的重复使用时,勒西涅表示:“我们不认为黑客重新创建了漏洞攻击代码,”排除了俄罗斯黑客独立发现漏洞的可能性。
“他们可能获得相同的漏洞攻击的多种可能性,包括在修补后购买或从其他客户那里窃取漏洞攻击的副本,”勒西涅表示。
NSO Group没有在出版前回复TechCrunch的询问。发表后提供的声明中,NSO发言人吉尔·莱纳表示:“NSO不向俄罗斯出售产品。我们的技术仅销售给经过审查的美国和以色列盟国的情报和执法机构。我们的系统和技术非常安全,并不断进行监视以检测和消除外部威胁。”
TechCrunch联系了驻华盛顿特区的俄罗斯大使馆和驻纽约联合国的蒙古常驻代表团,但截至发稿时未收到回复。与Intellexa联系不上。苹果发言人Shane Bauer没有回应请求评论。
谷歌表示,用户应“快速应用补丁”并保持软件最新以帮助防止恶意网络攻击。根据勒西涅的说法,启用高安全性功能锁定模式的iPhone和iPad用户即使运行易受攻击的软件版本也不受影响。
更新了NSO回应的发布后内容。
