Tin tặc Nga khai thác công cụ gián điệp trong các cuộc tấn công watering hole tinh vi

Nhóm Phân tích Mối đe dọa ( TAG ) của Google đã phát hiện ra một loạt các cuộc tấn công mạng tinh vi được cho là do APT29 thực hiện, một nhóm tin tặc có liên hệ với tình báo Nga. Các cuộc tấn công sử dụng các lỗ hổng bảo mật tương tự đáng kinh ngạc với những lỗ hổng do các nhà cung cấp phần mềm gián điệp gây tranh cãi như NSO Group và Intellexa phát triển.

Một bóng người mờ ảo đắm chìm trong thế giới các mối đe dọa mạng, phản ánh sự tinh vi của các nhóm hacker hiện đại liên quan đến các cuộc tấn công mạng do nhà nước tài trợ

Chiến thuật Watering Hole nhắm vào các trang web chính phủ Mông Cổ

Từ tháng 11 năm 2023 đến tháng 7 năm 2024, tin tặc đã xâm nhập các trang web chính phủ Mông Cổ để thực hiện các cuộc tấn công watering hole. Kỹ thuật này liên quan đến việc lây nhiễm các trang web hợp pháp thường xuyên được truy cập bởi các nhóm mục tiêu cụ thể, có khả năng xâm phạm bất kỳ thiết bị dễ bị tấn công nào truy cập trang web.

Khai thác phần mềm gián điệp thương mại được tái sử dụng

Những kẻ tấn công đã sử dụng các lỗ hổng bảo mật hoặc giống hệt hoặc rất giống với những lỗ hổng trước đây được sử dụng bởi NSO Group và Intellexa:

• Một lỗ hổng iOS/Safari trùng khớp với lỗ hổng zero-day của Intellexa vào tháng 9 năm 2023
• Một lỗ hổng Chrome được điều chỉnh từ công cụ của NSO Group vào tháng 5 năm 2024
• Một lỗ hổng khác giống với sản phẩm của Intellexa vào tháng 9 năm 2021

Mặc dù các lỗ hổng này nhắm vào các điểm yếu đã được vá phần lớn, chúng vẫn còn hiệu quả đối với các thiết bị chưa được cập nhật.

Ý nghĩa đối với bối cảnh an ninh mạng

Chiến dịch này làm nổi bật một số xu hướng đáng lo ngại:

1. Sự phổ biến của các công cụ hack mạnh mẽ từ các nhà cung cấp phần mềm gián điệp thương mại đến các tác nhân đe dọa được nhà nước hậu thuẫn
2. Hiệu quả liên tục của các cuộc tấn công watering hole, đặc biệt là đối với các thiết bị di động
3. Tầm quan trọng của việc vá lỗi và cập nhật phần mềm kịp thời

Các nhà nghiên cứu của Google lưu ý rằng không rõ APT29 đã có được những lỗ hổng này bằng cách nào, gợi ý các khả năng bao gồm mua, đánh cắp hoặc đảo ngược kỹ thuật.

Phản ứng của ngành công nghiệp

NSO Group đã phủ nhận việc bán sản phẩm cho Nga, tuyên bố rằng công nghệ của họ chỉ được bán độc quyền cho các cơ quan tình báo và thực thi pháp luật đã được xác minh của Hoa Kỳ và đồng minh của Israel.

Sự cố này nhấn mạnh mối tương tác phức tạp giữa các nhà phát triển phần mềm gián điệp thương mại, các nhóm tin tặc do nhà nước tài trợ và hệ sinh thái an ninh mạng toàn cầu. Nó đóng vai trò như một lời nhắc nhở mạnh mẽ về nhu cầu thực hành bảo mật mạnh mẽ và cập nhật phần mềm kịp thời trong tất cả các lĩnh vực.