Af Eskil Sørensen, 02/09/24
Trods løfter om det modsatte bruges produkter fra kommercielle spywareleverandører af russiske statstøttede aktører.
Det siger Googles Threat Analysis Group (TAG) i en ny analyse ifølge artikler i Tech Crunch og Ars Technica.
Står dette til troende har kritikere af de virksomheder, der sælger spywareprodukter og udnyttelser, dermed ret i det faktum, at produkterne ”uundgåeligt finder vej i hænderne på ondsindede parter”, som det hedder i Ars Technicas omtale, og at det udgør en ”verdensomspændende fare”.
I al fald har Google-analytikere fremlagt beviser, der understøtter kritikken. Det sker, efter at Google TAG fandt ud af, at aktører, der arbejdede på vegne af Kreml, brugte udnyttelser, der er "identiske eller påfaldende ens" med dem, der sælges af spyware-producenterne Intellexa og NSO Group. Intellexa og NSO Group betegnes også som kommercielle udnyttelsessælgere, der er hjemmehørende i hhv. Irland og Israel.
Beviserne findes i det, der kaldes et ”Hacking-outfittet”, som spores til navne som APT29, Cozy Bear og Midnight Blizzard. Grupperinger, der er bredt vurderet til at arbejde på vegne af Ruslands udenlandsefterretningstjenste SVR.
Vandhulsangreb
I det konkrete tilfælde skal Google TAG have fundet skjult udnyttelseskode indlejret på mongolske regerings websteder mellem november 2023 og juli 2024. I løbet af denne tid kunne enhver, der besøgte disse websteder ved hjælp af en iPhone eller Android-enhed, have fået deres telefon hacket og data stjålet, herunder adgangskoder, i hvad er kendt som et "vandingshul"-angreb. Vandhulsangreb er kendetegnet ved at der i det skjulte at plantes udnyttelser på steder, der er kendt for at få hyppige besøg, De besøgende bliver så inficeret på en i forvejen designet metode.
I dette tilfælde udnyttedes sårbarheder i iPhones Safari-browser og Google Chrome på Android, som allerede var blevet rettet på tidspunktet for den formodede russiske kampagne, men som endnu ikke var installeret i vid udstrækning af brugerne.
Ifølge Google TAGs blogindlæg blev udnyttelsen rettet mod iPhones og iPads og designet til at stjæle brugerkontocookies, der er gemt i Safari. Dette skulle være specifikt på tværs af en række online-e-mail-udbydere, der hoster den mongolske regerings personlige og arbejdskonti. Angriberne kunne bruge de stjålne cookies til derefter at få adgang til disse statskonti. En tilsvarende kampagne var rettet mod Android-enheder, hvor to separate udnyttelser sammen blev brugt til at stjæle brugercookies gemt i Chrome-browseren.
Det fremgår, at der ikke er direkte beviser for, at udnyttelserne decideret er erhvervet fra Intellaxa eller NSO Group. Man kan derfor hævde, at der er tale om spekulation fra Google TAGs side, men TAG har givetvis både har en strategisk, kommerciel og politisk interesse i at gøre opmærksom på sit fund. Det skulle dog være påvist, at APT29 i november 2023 kompromitterede de mongolske regeringswebsteder mfa.gov[.]mn og cabinet.gov[.]mn og plantede et link, der indlæste kode. Det var denne kode, der kunne udnytte den pågældende sårbarhed - en kritisk fejl i WebKit browsermotor, CVE-2023-41993. Og som har været brugt af Intellexa i september 2023, før CVE-2023-41993 var blevet rettet.