Negli ultimi anni, i produttori di spyware commerciali d’élite come Intellexa e Nso group hanno sviluppato una serie di potenti strumenti che sfruttano vulnerabilità zero-day rare e non ancora corrette nei software per compromettere i dispositivi delle vittime. E sempre più spesso i governi di tutto il mondo diventano i principali clienti di queste aziende, utilizzando i loro prodotti per violare gli smartphone di leader dell’opposizione, giornalisti, attivisti, avvocati e altri ancora. Giovedì tuttavia il Threat analysis group di Google (Tag, l’unità del gigante che si occupa di minacce informatiche) ha pubblicato un’analisi che rivela come una serie di recenti campagne apparentemente condotte dalla famigerata cybergang russa Apt29 Cozy Bear ha sfruttato exploit molto simili a quelli sviluppati da Intellexa e Nso Group per attività di spionaggio ancora in corso.
L’analisi di Google
Tra il novembre 2023 e il luglio 2024, gli aggressori hanno compromesso i siti web del governo della Mongolia, sfruttando poi l’accesso per sferrare attacchi di tipo watering hole, violando i dispositivi vulnerabili che caricavano un sito compromesso. I criminali informatici hanno configurato la loro infrastruttura dannosa in modo da sfruttare exploit “identici o sorprendentemente simili a quelli precedentemente utilizzati dai fornitori di servizi di sorveglianza commerciale Intellexa e Nso group“, riporta il Tag. I ricercatori dicono di “ritenere con moderata fiducia” che le campagne siano state condotte da Apt29.
Questi strumenti simili a spyware hanno sfruttato vulnerabilità di iOs e Android, che però in gran parte erano già state corrette. Anche se in origine erano stati distribuiti dalle aziende di spyware come exploit zero-day, ovvero di cui non era nota l’esistenza, i cybercriminali russi li hanno utilizzati per colpire i dispositivi che non erano stati aggiornati con le correzioni.
“Sebbene non sia certo come i sospetti aggressori di Apt29 abbiano acquisito questi exploit, la nostra ricerca sottolinea la misura in cui gli exploit sviluppati originariamente dall’industria della sorveglianza commerciale siano arrivati ad attori pericolosi – scrivono i ricercatori del Tag. –. Gli attacchi watering hole rimangono una minaccia che permette di usare exploit sofisticati per colpire coloro che visitano regolarmente siti, anche su dispositivi mobili. Possono rappresentare ancora una via efficace per [… ] colpire in massa una popolazione che potrebbe ancora utilizzare browser senza patch“. È possibile che i criminali informatici abbiano acquistato e adattato gli exploit spyware oppure che li abbiano rubati o acquisiti tramite un leak. Ma non si può escludere nemmeno che si siano ispirati agli strumenti commerciali e che li abbiano poi modificati esaminando i dispositivi infetti delle vittime.