Google afirma tener pruebas de que piratas informáticos del gobierno ruso están utilizando exploits «idénticos o sorprendentemente similares» a los desarrollados anteriormente por los fabricantes de programas espía Intellexa y NSO Group.
En una entrada de blog publicada hoy jueves, Google afirma que no está seguro de cómo el gobierno ruso adquirió los exploits, pero afirma que se trata de un ejemplo de cómo los exploits desarrollados por los fabricantes de spyware pueden acabar en manos de «peligrosos actores de amenazas».
En este caso, Google dice que los actores de la amenaza son APT29, un grupo de hackers ampliamente atribuido al Servicio de Inteligencia Exterior de Rusia, o el SVR. APT29 es un grupo de hackers muy capaz, conocido por sus largas y persistentes campañas de espionaje y robo de datos contra una serie de objetivos, incluidos los gigantes tecnológicos Microsoft y SolarWinds, así como gobiernos extranjeros.
Google dijo que encontró el código oculto del exploit incrustado en sitios web del gobierno de Mongolia entre noviembre de 2023 y julio de 2024. Durante este tiempo, cualquiera que visitara estos sitios utilizando un iPhone o un dispositivo Android podría haber sufrido el hackeo de su teléfono y el robo de datos, incluidas contraseñas, en lo que se conoce como un ataque «watering hole» (abrevadero).
Los exploits aprovechaban vulnerabilidades del navegador Safari del iPhone y de Google Chrome en Android que ya habían sido corregidas en el momento de la presunta campaña rusa. Sin embargo, esos exploits podrían ser eficaces para comprometer dispositivos sin parches.
Según la entrada del blog, el exploit dirigido a iPhones y iPads fue diseñado para robar cookies de cuentas de usuario almacenadas en Safari específicamente a través de una serie de proveedores de correo electrónico online que alojan las cuentas personales y de trabajo del gobierno de Mongolia. Los atacantes podían utilizar las cookies robadas para acceder a esas cuentas gubernamentales. Según Google, la campaña dirigida a dispositivos Android utilizaba dos exploits distintos para robar las cookies de los usuarios almacenadas en el navegador Chrome.
El investigador de seguridad de Google Clement Lecigne, autor de la entrada del blog, dijo que no se sabe con certeza a quién se dirigían los hackers del gobierno ruso en esta campaña. «Pero basándonos en dónde se alojó el exploit y quiénes visitan normalmente estos sitios, creemos que los empleados del gobierno de Mongolia eran un objetivo probable», dijo.
Lecigne, que trabaja para el Grupo de Análisis de Amenazas de Google, la unidad de investigación de seguridad que investiga las ciberamenazas respaldadas por el gobierno, dijo que Google está vinculando la reutilización del código a Rusia porque los investigadores observaron previamente el mismo código de robo de cookies utilizado por APT29 durante una campaña anterior en 2021.
Queda una pregunta clave: ¿Cómo obtuvieron los hackers rusos el código del exploit? Google afirma que las dos iteraciones de la campaña de watering hole dirigida al gobierno de Mongolia utilizaron un código similar o idéntico al de los exploits de Intellexa y NSO Group. Estas dos empresas son conocidas por desarrollar programas espía capaces de comprometer iPhones y teléfonos Android totalmente parcheados.
Google afirmó que el código del exploit utilizado en el ataque de watering hole dirigido a usuarios de Chrome en Android compartía un «disparador muy similar» con un exploit desarrollado anteriormente por NSO Group. En el caso del exploit dirigido a iPhones y iPads, Google dijo que el código utilizaba «exactamente el mismo disparador que el exploit utilizado por Intellexa», lo que, según Google, sugería con certeza que los autores o proveedores del exploit «son los mismos».
Cuando se le preguntó a Lecigne sobre la reutilización del código del exploit, dijo: «No creemos que el actor haya recreado el exploit», descartando la posibilidad de que el exploit haya sido descubierto de forma independiente por los hackers rusos.
«Hay muchas posibilidades de que hayan adquirido el mismo exploit, como comprarlo después de que fuera parcheado o robar una copia del exploit a otro cliente», afirma Lecigne.
Google dijo que los usuarios deben «aplicar los parches rápidamente» y mantener el software actualizado para ayudar a prevenir ciberataques maliciosos. Según Lecigne, los usuarios de iPhone y iPad con la función de alta seguridad Lockdown Mode activada no se vieron afectados aunque ejecutaran una versión de software vulnerable.