Los piratas informáticos respaldados por el Kremlin utilizan vulnerabilidades de software espía comercial, afirma Google

Los piratas informáticos respaldados por el Kremlin utilizan vulnerabilidades de software espía comercial, afirma Google
Los piratas informáticos respaldados por el Kremlin utilizan vulnerabilidades de software espía comercial, afirma Google

Imágenes Getty

Los críticos de los vendedores de programas espía y exploits llevan mucho tiempo advirtiendo que los programas de piratería informática avanzados que venden los proveedores de servicios de vigilancia comercial (CSV) representan un peligro mundial porque inevitablemente acaban en manos de personas malintencionadas, incluso cuando los CSV prometen que se utilizarán únicamente para atacar a delincuentes conocidos. El jueves, los analistas de Google presentaron pruebas que refuerzan las críticas tras descubrir que los espías que trabajan en nombre del Kremlin utilizaron exploits que son “idénticos o sorprendentemente similares” a los que venden los fabricantes de programas espía Intellexa y NSO Group.

Se cree que el grupo de piratas informáticos, que se conoce con nombres como APT29, Cozy Bear y Midnight Blizzard, trabaja para el Servicio de Inteligencia Exterior de Rusia (SVR). Los investigadores del Grupo de Análisis de Amenazas de Google, que rastrea los ataques de los estados nacionales, dijo el jueves

que observaron que APT29 utilizaba exploits idénticos o muy idénticos a los utilizados por primera vez por los vendedores de exploits comerciales NSO Group de Israel e Intellexa de Irlanda. En ambos casos, los exploits de los vendedores de vigilancia comercial se utilizaron por primera vez como ataques de día cero, es decir, cuando las vulnerabilidades no eran conocidas públicamente y no había ningún parche disponible.

Idéntico o sorprendentemente similar

Según TAG, una vez que los parches para las vulnerabilidades estuvieron disponibles, APT29 utilizó los exploits en ataques de tipo watering hole, que infectan a los objetivos al plantar exploits de manera subrepticia en sitios que se sabe que frecuentan. TAG dijo que APT29 utilizó los exploits como ataques de tipo n-day, que apuntan a vulnerabilidades que se han solucionado recientemente pero que aún no han sido instaladas ampliamente por los usuarios.

“En cada iteración de las campañas de watering hole, los atacantes utilizaron exploits que eran idénticos o sorprendentemente similares a los exploits de CSV, Intellexa y NSO Group”, escribió Clement Lecigne de TAG. “No sabemos cómo los atacantes adquirieron estos exploits. Lo que está claro es que los actores de APT están utilizando exploits de día n que originalmente fueron utilizados como días 0 por CSV”.

En un caso, dijo Lecigne, TAG observó que APT29 comprometía los sitios del gobierno de Mongolia mfa.gov[.]mn y gabinete.gov[.]mn y plantando un enlace que cargaba código que explotaba CVE-2023-41993, una falla crítica en el motor del navegador WebKit. Los agentes rusos usaron la vulnerabilidad, cargada en los sitios en noviembre, para robar cookies del navegador para acceder a las cuentas en línea de los objetivos que esperaban comprometer. El analista de Google dijo que el exploit APT29 “utilizó exactamente el mismo disparador” que un exploit que Intellexa usó en septiembre de 2023, antes de que se hubiera corregido CVE-2023-41993.

Lucigne proporcionó la siguiente imagen que muestra una comparación lado a lado del código utilizado en cada ataque.

Una comparación lado a lado del código utilizado por APT29 en noviembre de 2023 e Intellexa en septiembre de ese año.
Agrandar / Una comparación lado a lado del código utilizado por APT29 en noviembre de 2023 e Intellexa en septiembre de ese año.

Etiqueta de Google

APT29 volvió a utilizar el mismo exploit en febrero de este año en un ataque de abrevadero en el sitio web del gobierno de Mongolia mga.gov.[.]Minnesota.

En julio de 2024, APT29 plantó un nuevo ataque de robo de cookies en mga.gov[.]yo. Explotó CVE-2024-5274 y CVE-2024-4671, dos vulnerabilidades de día n en Google Chrome. Lucigne dijo que el exploit CVE-2024-5274 de APT29 era una versión ligeramente modificada del que NSO Group utilizó en mayo de 2024 cuando todavía era un día cero. Mientras tanto, el exploit para CVE-2024-4671 contenía muchas similitudes con CVE-2021-37973, un exploit que Intellexa había utilizado anteriormente para evadir las protecciones de la zona protegida de Chrome.

La cronología de los ataques se ilustra a continuación:

Etiqueta de Google

Como se señaló anteriormente, no está claro cómo APT29 habría obtenido los exploits. Las posibilidades incluyen: personas malintencionadas que trabajaban con los CSV o intermediarios que trabajaban con ellos, piratas informáticos que robaron el código o compras directas. Ambas empresas defienden su negocio prometiendo vender exploits solo a gobiernos de países considerados de buena reputación a nivel mundial. La evidencia descubierta por TAG sugiere que, a pesar de esas garantías, los exploits están llegando a manos de grupos de piratas informáticos respaldados por los gobiernos.

“Si bien no estamos seguros de cómo los presuntos actores de APT29 adquirieron estos exploits, nuestra investigación subraya hasta qué punto los exploits desarrollados inicialmente por la industria de vigilancia comercial se propagan entre actores de amenazas peligrosos”, escribió Lucigne.

Leave a Reply

Your email address will not be published. Required fields are marked *