Se observó que el grupo de hackers patrocinado por el estado ruso APT29 utilizaba los mismos exploits para iOS y Android creados por proveedores comerciales de software espía en una serie de ciberataques entre noviembre de 2023 y julio de 2024.
La actividad fue descubierta por el Grupo de Análisis de Amenazas (TAG) de Google, que dijo que las fallas de n días ya han sido reparadas pero siguen siendo efectivas en dispositivos que no han sido actualizados.
APT29, también conocido como “Midnight Blizzard”, apuntó a varios sitios web del gobierno de Mongolia y utilizó tácticas de “abrevadero”.
Un abrevadero es un ataque cibernético en el que un sitio legítimo se ve comprometido con código malicioso diseñado para entregar cargas útiles a los visitantes que cumplen con criterios específicos, como la arquitectura del dispositivo o la ubicación (basada en IP).
Curiosamente, TAG señala que APT29 utilizó exploits que eran casi idénticos a los utilizados por proveedores de software de monitoreo comercial como NSO Group e Intellexa, quienes crearon y explotaron las fallas como de día cero mientras “no había ninguna solución disponible”.
Cronología de los ataques
Los analistas de amenazas de Google señalan que APT29 tiene un largo historial de explotación de vulnerabilidades de día cero y día n.
En 2021, agentes cibernéticos rusos explotaron CVE-2021-1879 como una falla de día cero, dirigida a funcionarios gubernamentales de Europa del Este, en un intento de ofrecer un sistema de robo de cookies que robaba cuentas de LinkedIn, Gmail y Facebook.
En noviembre de 2023, APT29 comprometió los sitios del gobierno de Mongolia “mfa.gov”[.]mn’ y ‘cabinet.gov[.]mn’ para agregar un iframe malicioso que proporcionó un exploit para CVE-2023-41993.
Fuente: Google
Esta es una falla de iOS WebKit que APT29 aprovechó para robar cookies del navegador de usuarios de iPhone que ejecutan iOS 16.6.1 y versiones anteriores.
TAG informa que este exploit era exactamente el mismo utilizado por Intellexa en septiembre de 2023, explotando CVE-2023-41993 como una vulnerabilidad de día cero en ese momento.
fuente: google
En febrero de 2024, APT29 comprometió otro sitio web del gobierno de Mongolia, “mga.gov”.[.]mn’, para inyectar un nuevo iframe que proporcione el mismo exploit.
El 20 de julio de 2024, APT aprovechó CVE-2024-5274 y CVE-2024-4671, que afectaban a Google Chrome, para atacar a los usuarios de Android que visitaban “mga.gov”.[.]Minnesota’.
fuente: google
El objetivo era robar cookies, contraseñas y otros datos confidenciales almacenados en los navegadores Chrome de las víctimas.
El exploit utilizado para CVE-2024-5274 es una versión ligeramente modificada del utilizado por NSO Group para la explotación de día cero en mayo de 2024, mientras que el exploit para CVE-2024-4671 tenía muchas similitudes con los exploits precedentes de Intellexa.
fuente: google
Anteriormente conocido sólo por los proveedores de software espía
No está claro cómo los piratas informáticos de APT29 pudieron acceder a los exploits que antes sólo conocían NSO Group e Intellexa. Sin embargo, parece poco probable que hubieran podido crear sus propios exploits de forma independiente con esta información limitada.
Las posibles explicaciones incluyen el hackeo de APT29 a proveedores de software espía, el reclutamiento o soborno de personas internas deshonestas que trabajan en estas empresas o el mantenimiento de la colaboración directamente o a través de un intermediario.
Otra posibilidad es comprarlos a un corredor de vulnerabilidades que anteriormente los vendió a empresas de monitoreo como días cero.
Independientemente de cómo estos exploits lleguen a grupos de amenazas sofisticados respaldados por el Estado, la conclusión es que sí lo hacen. Esto hace que sea aún más crítico abordar rápidamente las vulnerabilidades de día cero etiquetadas como “explotación de alcance limitado” en los avisos, lo cual es mucho más urgente de lo que los usuarios comunes piensan.