Google gibt an, Beweise dafür zu haben, dass Hacker der russischen Regierung Exploits verwenden, die „identisch oder auffallend ähnlich“ mit denen sind, die zuvor von den Spyware-Herstellern Intellexa und NSO Group entwickelt wurden.
In ein Blogbeitrag am DonnerstagGoogle sagte, es sei nicht sicher, wie die russische Regierung an die Exploits gelangt sei, meinte jedoch, dies sei ein Beispiel dafür, wie von Spyware-Herstellern entwickelte Exploits in die Hände „gefährlicher Bedrohungsakteure“ gelangen könnten.
In diesem Fall, so Google, handele es sich bei den Bedrohungsakteuren um APT29, eine Hackergruppe, die weithin dem russischen Auslandsgeheimdienst (SVR) zugeschrieben wird. APT29 ist eine äußerst fähige Hackergruppe, die für ihre langjährigen und hartnäckigen Kampagnen bekannt ist, die auf Spionage und Datendiebstahl gegen eine Reihe von Zielen abzielen, darunter die Technologiegiganten Microsoft und SolarWinds sowie ausländische Regierungen.
Google erklärte, es habe den versteckten Exploit-Code zwischen November 2023 und Juli 2024 auf mongolischen Regierungswebsites gefunden. In diesem Zeitraum hätten alle, die diese Websites mit einem iPhone oder Android-Gerät besuchten, bei einem sogenannten „Watering Hole“-Angriff das Telefon hacken und Daten, darunter auch Passwörter, stehlen können.
Die Exploits nutzten Schwachstellen im Safari-Browser des iPhones und in Google Chrome auf Android aus, die zum Zeitpunkt der mutmaßlichen russischen Kampagne bereits behoben waren. Dennoch könnten diese Exploits wirksam sein, um ungepatchte Geräte zu kompromittieren.
Laut dem Blogbeitrag war der Exploit, der auf iPhones und iPads abzielte, darauf ausgelegt, in Safari gespeicherte Cookies von Benutzerkonten zu stehlen, und zwar speziell bei einer Reihe von Online-E-Mail-Anbietern, die die persönlichen und geschäftlichen Konten der mongolischen Regierung hosten. Die Angreifer konnten die gestohlenen Cookies verwenden, um dann auf diese Regierungskonten zuzugreifen. Google sagte, die auf Android-Geräte abzielende Kampagne habe zwei separate Exploits verwendet, um im Chrome-Browser gespeicherte Benutzer-Cookies zu stehlen.
Der Google-Sicherheitsforscher Clement Lecigne, der den Blogbeitrag verfasst hat, sagte gegenüber Tech, dass man nicht sicher wisse, wen die Hacker der russischen Regierung bei dieser Kampagne im Visier hatten. „Aber basierend darauf, wo der Exploit gehostet wurde und wer diese Seiten normalerweise besucht, glauben wir, dass mongolische Regierungsmitarbeiter ein wahrscheinliches Ziel waren“, sagte er.
Lecigne, der für Googles Threat Analysis Group arbeitet, die Sicherheitsforschungseinheit, die von der Regierung unterstützte Cyberbedrohungen untersucht, sagte, Google verbinde die Wiederverwendung des Codes mit Russland, weil die Forscher zuvor denselben Cookie-Diebstahl-Code beobachtet hätten, der von APT29 verwendet wurde. während einer früheren Kampagne im Jahr 2021.
Eine zentrale Frage bleibt: Wie sind die Hacker der russischen Regierung überhaupt an den Exploit-Code gekommen? Google sagte, beide Iterationen der Watering Hole-Kampagne, die sich gegen die mongolische Regierung richtete, verwendeten Code, der Exploits von Intellexa und NSO Group ähnelte oder mit ihnen übereinstimmte. Diese beiden Unternehmen sind dafür bekannt, Exploits zu entwickeln, die Spyware liefern können, die vollständig gepatchte iPhones und Android-Telefone kompromittieren kann.
Google sagte, der Exploit-Code, der beim Watering Hole-Angriff auf Chrome-Nutzer unter Android verwendet wurde, habe einen „sehr ähnlichen Trigger“ wie ein zuvor von der NSO Group entwickelter Exploit. Im Fall des Exploits, der auf iPhones und iPads abzielt, verwendete der Code laut Google „genau denselben Trigger wie der von Intellexa verwendete Exploit“, was laut Google stark darauf hindeute, dass die Exploit-Autoren oder -Anbieter „dieselben“ seien.
Auf die Frage von Tech zur Wiederverwendung des Exploit-Codes sagte Lecigne: „Wir glauben nicht, dass der Akteur den Exploit nachgebaut hat“, und schloss damit die Wahrscheinlichkeit aus, dass der Exploit unabhängig von den russischen Hackern entdeckt wurde.
„Es gibt mehrere Möglichkeiten, wie sie an denselben Exploit gekommen sein könnten, darunter der Kauf nach der Patchversion oder der Diebstahl einer Kopie des Exploits von einem anderen Kunden“, sagte Lecigne.
Google sagte, Benutzer sollten „Patches schnell anwenden“ und die Software auf dem neuesten Stand halten, um bösartige Cyberangriffe zu verhindern. Laut Lecigne waren iPhone- und iPad-Benutzer mit eingeschaltetem Hochsicherheits-Lockdown-Modus nicht betroffen, selbst wenn sie eine anfällige Softwareversion verwendeten.
Tech hat die russische Botschaft in Washington DC und die Ständige Vertretung der Mongolei bei den Vereinten Nationen in New York um einen Kommentar gebeten, aber bis Redaktionsschluss keine Antwort erhalten. Intellexa war für eine Stellungnahme nicht erreichbar und die NSO Group hat auf eine Bitte um Stellungnahme nicht geantwortet. Apple-Sprecher Shane Bauer hat auf eine Bitte um Stellungnahme nicht geantwortet.