O Google revelou evidências de que hackers do governo russo estão usando exploits que são "idênticos ou muito semelhantes" aos desenvolvidos anteriormente pelos fabricantes de spyware Intellexa e NSO Group. Essa descoberta levanta preocupações sobre como esses exploits perigosos podem acabar nas mãos de "atores de ameaças" e ser usados para conduzir ataques cibernéticos.
De acordo com uma postagem no blog do Google, a empresa encontrou o código de exploração oculto em sites do governo da Mongólia entre novembro de 2023 e julho de 2024. Durante esse período, qualquer pessoa que visitasse esses sites usando um iPhone ou dispositivo Android poderia ter seu telefone hackeado e dados roubados, incluindo senhas, em um ataque conhecido como "watering hole".
Os exploits aproveitaram vulnerabilidades no navegador Safari do iPhone e no Google Chrome no Android que já tinham sido corrigidas na época da suposta campanha russa. Ainda assim, esses exploits podem ser eficazes em comprometer dispositivos sem patches.
Como os exploits foram adquiridos?
Uma questão fundamental permanece: como os hackers do governo russo obtiveram o código de exploração para começar? O Google disse que ambas as iterações da campanha watering hole visando o governo mongol usaram código semelhante ou correspondente a exploits da Intellexa e do NSO Group.
Essas duas empresas são conhecidas por desenvolver exploits capazes de entregar spyware que pode comprometer iPhones e telefones Android totalmente corrigidos. O Google sugeriu que os autores ou provedores do exploit "são os mesmos" que os da Intellexa e do NSO Group.
"Há várias possibilidades de como eles poderiam ter adquirido o mesmo exploit, incluindo comprá-lo depois de ter sido corrigido ou roubar uma cópia do exploit de outro cliente", disse Lecigne, do Grupo de Análise de Ameaças do Google.
Impacto e prevenção
O exploit direcionado a iPhones e iPads foi projetado para roubar cookies de contas de usuários armazenados no Safari, especificamente em uma variedade de provedores de e-mail online que hospedam contas pessoais e de trabalho do governo mongol. Os invasores poderiam usar os cookies roubados para acessar essas contas governamentais.
O Google disse que a campanha direcionada a dispositivos Android usou dois exploits separados juntos para roubar cookies de usuários armazenados no navegador Chrome.
Para ajudar a prevenir ataques cibernéticos maliciosos, o Google aconselha que os usuários "apliquem patches rapidamente" e mantenham o software atualizado. Além disso, os usuários de iPhone e iPad com o recurso de alta segurança Lockdown Mode ativado não foram afetados, mesmo ao executar uma versão vulnerável do software.
Conclusão
A descoberta do Google sobre o uso de exploits de fabricantes de spyware por hackers do governo russo é preocupante. Ela demonstra como esses exploits perigosos podem acabar nas mãos de "atores de ameaças" e ser usados para conduzir ataques cibernéticos sofisticados.
À medida que as ameaças cibernéticas continuam a evoluir, é crucial que os usuários mantenham seus dispositivos e software atualizados para ajudar a se proteger contra esses tipos de ataques. Além disso, soluções de segurança avançadas, como o Lockdown Mode do iPhone, podem fornecer uma camada adicional de proteção.
À medida que a comunidade de segurança cibernética continua a monitorar e responder a essas ameaças em constante evolução, é importante que os usuários fiquem atentos e tomem medidas proativas para proteger seus dados e dispositivos.