Ρώσοι hackers χρησιμοποιούν exploits που δημιούργησαν οι NSO Group και Intellexa

secnews.gr

IT Security News, Gadgets, Tweaks for Geeks and More

Ρώσοι hackers χρησιμοποιούν exploits που δημιούργησαν οι NSO Group και Intellexa
https://www.secnews.gr/615291/rosoi-hackers-xrisimopoioun-exploits-nso-group-intellexa/
Aug 29th 2024, 17:10

Οι Ρώσοι hackers APT29 χρησιμοποιούν στις επιθέσεις τους iOS και Android exploits (ίδια ή πολύ παρόμοια), που δημιουργήθηκαν από προμηθευτές spyware, όπως η NSO Group και η Intellexa.






Οι επιθέσεις ανακαλύφθηκαν από την Ομάδα Ανάλυσης Απειλών (TAG) της Google και έλαβαν χώρα από το Νοέμβριο του 2023 έως τον Ιούλιο του 2024. Οι ερευνητές είπαν ότι οι ευπάθειες που χρησιμοποιούνται έχουν διορθωθεί, αλλά οι συσκευές που δεν έχουν λάβει τις σχετικές ενημερώσεις, παραμένουν ευάλωτες.



Οι Ρώσοι hackers APT29 έχουν στοχεύσει πολλούς ιστότοπους της μογγολικής κυβέρνησης και χρησιμοποίησαν τακτικές "watering hole". Κατά τη διάρκεια μιας watering hole επίθεσης, ένας νόμιμος ιστότοπος παραβιάζεται με κακόβουλο κώδικα που διανέμει payloads σε επισκέπτες, λαμβάνοντας υπόψη κάποια κριτήρια, όπως η αρχιτεκτονική της συσκευής ή η τοποθεσία (βασισμένη σε IP).



Δείτε επίσης: Το Android spyware Mandrake κρύβεται σε εφαρμογές στο Google Play



Ωστόσο, οι ερευνητές της Google παρατήρησαν ότι, σε αυτές τις επιθέσεις, οι Ρώσοι hackers APT29 χρησιμοποίησαν exploits που ήταν σχεδόν πανομοιότυπα με εκείνα που είχαν δημιουργήσει οι προμηθευτές spyware, NSO Group και Intellexa. Αυτές οι εταιρείες δημιουργούν exploits για zero-day ευπάθειες που δεν έχουν διορθωθεί και τις χρησιμοποιούν για να παραβιάζουν συστήματα με τα λογισμικά τους.



APT29: Επιθέσεις



Οι αναλυτές της Google εξήγησαν ότι η ομάδα APT29 συνηθίζει να εκμεταλλεύεται zero-day και n-day ευπάθειες για την πραγματοποίηση επιθέσεων. Για παράδειγμα, το 2021, οι Ρώσοι hackers εκμεταλλεύτηκαν τη zero-day ευπάθεια CVE-2021-1879, για να στοχεύσουν κυβερνητικούς αξιωματούχους στην Ανατολική Ευρώπη. Τον Νοέμβριο του 2023, παραβίασαν τους μογγολικούς κυβερνητικούς ιστότοπους «mfa.gov.mn» και «cabinet.gov.,mn» χρησιμοποιώντας το CVE-2023-41993 (WebKit bug για κλοπή browser cookies από χρήστες Ios).



Οι ερευνητές της Google λένε ότι αυτό το τελευταίο exploit ήταν ακριβώς το ίδιο με αυτό που χρησιμοποίησε η Intellexa τον Σεπτέμβριο του 2023, αξιοποιώντας το CVE-2023-41993 ως ευπάθεια zero-day.



Τον Φεβρουάριο του 2024, οι Ρώσοι hackers APT29 παραβίασαν έναν άλλο ιστότοπο της κυβέρνησης της Μογγολίας, «mga.gov.mn», με το ίδιο exploit.



Δείτε επίσης: Η Apple ειδοποιεί τους χρήστες iPhone σε 98 χώρες για επιθέσεις spyware



Τέλος, τον Ιούλιο, η ομάδα χρησιμοποίησε exploits για τα CVE-2024-5274 και CVE-2024-4671 του Google Chrome, για να επιτεθεί σε χρήστες Android που επισκέπτονται τα «mga.gov.mn» και «adv.com».






Στόχος των Ρώσων hackers ήταν να κλέψουν cookies, κωδικούς πρόσβασης και άλλα ευαίσθητα δεδομένα που ήταν αποθηκευμένα στον Chrome browser των θυμάτων.



Το exploit που χρησιμοποιήθηκε για το CVE-2024-5274 είναι ελαφρώς διαφορετικό από αυτό της NSO Group που χρησιμοποιήθηκε τον Μάιο του 2024, ενώ το exploit για το CVE-2024-4671 παρουσίαζε πολλές ομοιότητες με τα προηγούμενα exploits της Intellexa.



Πώς συνδέεται η APT29 με τους προμηθευτές spyware;



Προς το παρόν, δεν είναι σίγουρο πώς η APT29 απέκτησε πρόσβαση στις πληροφορίες για τα exploits. Ίσως οι Ρώσοι hackers κατάφεραν να παραβιάσουν τους προμηθευτές spyware και να κλέψουν χρήσιμα στοιχεία. Ίσως πάλι δωροδόκησαν υπαλλήλους των εταιρειών για να τους δώσουν τις πληροφορίες. Θα μπορούσε ακόμα να υπάρχει και κάποια συνεργασία μεταξύ των hackers και των εταρειών.



Ό, τι και να έχει συμβεί το αποτέλεσμα είναι ένα: κρατικοί hackers χρησιμοποιούν τα exploits και πραγματοποιούν επιθέσεις. Αυτό καθιστά ακόμη πιο κρίσιμη την έγκαιρη αντιμετώπιση των ευπαθειών zero-day.



Δείτε επίσης: Hackers μολύνουν χρήστες του Hamster Kombat με spyware



Ρώσοι hackers χρησιμοποιούν exploits που δημιούργησαν οι NSO Group και Intellexa


Αυτές οι ευπάθειες μπορεί να έχουν σοβαρές συνέπειες τόσο για άτομα όσο και για οργανισμούς:



Παραβιάσεις δεδομένων: Οι hackers μπορούν να εκμεταλλευτούν σφάλματα zero-day για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα δεδομένα, με αποτέλεσμα παραβιάσεις δεδομένων και πιθανή οικονομική απώλεια.



Παραβιάσεις ασφαλείας: Τα σφάλματα Zero-day μπορούν επίσης να χρησιμοποιηθούν από εισβολείς για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε συστήματα και δίκτυα, θέτοντας σε κίνδυνο την ασφάλεια της υποδομής ενός οργανισμού.



Οικονομική Απώλεια: Εκτός από τις άμεσες απώλειες από παραβιάσεις δεδομένων ή ασφάλειας, τα σφάλματα zero-day μπορεί επίσης να οδηγήσουν σε οικονομική ζημία λόγω διακοπής λειτουργίας, ζημίας φήμης και νομικών ευθυνών.



Είναι σημαντικό για τους προγραμματιστές να δίνουν προτεραιότητα στην ασφάλεια και για άτομα και οργανισμούς να λαμβάνουν προληπτικά μέτρα για να μετριάσουν τον αντίκτυπο αυτών των επικίνδυνων ευπαθειών. Οι τακτικές ενημερώσεις, η εκπαίδευση και ευαισθητοποίηση για την κυβερνοασφάλεια και η εφαρμογή των βασικών μεθόδων ασφαλείας είναι απαραίτητα βήματα για την προστασία από σφάλματα zero-day.



Πηγή: www.bleepingcomputer.com



You are receiving this email because you subscribed to this feed at https://blogtrottr.com

If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια