Ruští hackeři údajně používají exploity od firem NSO a Intellexa
Zdroj: Shuttestock
Google nedávno odhalil důkazy naznačující, že ruští hackeři, známí jako APT29, používají exploity, které jsou „identické nebo nápadně podobné“ těm, které vytvořili výrobci spywaru NSO Group a Intellexa. APT29, často spojovaná s ruskou zahraniční zpravodajskou službou SVR, je známá svými sofistikovanými kybernetickými útoky zaměřenými na špionáž a krádeže citlivých dat. Tato skupina hackerů se v minulosti zaměřila na technologické giganty jako Microsoft a SolarWinds, ale také na zahraniční vlády.
Google ve svém blogovém příspěvku uvedl, že mezi listopadem 2023 a červencem 2024 objevili skrytý exploit kód na webových stránkách mongolské vlády. Tento kód byl určen k hacknutí zařízení iPhone a Android, když uživatelé navštívili infikované stránky. Tento typ útoku, známý jako "napajedlo" (watering hole attack), mohl vést ke krádeži citlivých dat, včetně hesel a souborů cookie uživatelských účtů.
Exploity využívaly dříve objevené zranitelnosti v prohlížeči Safari na iPhonech a Google Chrome na zařízeních s Androidem. Přestože tyto zranitelnosti byly již opraveny, zůstávají hrozbou pro zařízení, která nebyla aktualizována. Podle Googlu byly cílem těchto útoků pravděpodobně zaměstnanci mongolské vlády, kteří pravidelně navštěvují vládní webové stránky.
Je zajímavé, že exploit pro iPhony a iPady byl navržen tak, aby kradl soubory cookie uložené v Safari, což útočníkům umožnilo přístup k vládním účtům. Kampaň zaměřená na zařízení Android využívala dva samostatné exploity ke krádeži souborů cookie uložených v prohlížeči Chrome.
Zdroj: Shutterstock
Důležitou otázkou zůstává, jak ruští hackeři získali přístup k těmto exploitům. Google spekuluje, že exploit kódy mohly být zakoupeny po jejich záplatě, nebo byly možná ukradeny od jiného zákazníka těchto spywarových společností. Tato situace opět poukazuje na nebezpečí, že vysoce sofistikované exploity mohou skončit v rukou nebezpečných aktérů, což představuje globální bezpečnostní hrozbu.
NSO Group, jedna ze společností spojovaných s těmito exploity, uvedla, že své produkty neprodává do Ruska a že její technologie jsou k dispozici pouze prověřeným zpravodajským a donucovacím orgánům. NSO také zdůraznila, že její systémy jsou neustále monitorovány, aby byly schopny detekovat a neutralizovat potenciální hrozby. Intellexa se k obviněním nevyjádřila.
Google na závěr vyzval uživatele, aby pravidelně aktualizovali své zařízení, a zdůraznil důležitost rychlého aplikování záplat pro minimalizaci rizika kybernetických útoků. Uživatelé iPhonů a iPadů, kteří mají zapnutou funkci Lockdown Mode, byli podle Googlu chráněni i v případě, že používali zranitelnou verzi softwaru.
Tato odhalení znovu poukazují na stále rostoucí rizika spojená s kybernetickou bezpečností a na nutnost globálního dialogu a regulace v oblasti prodeje a používání sofistikovaných kybernetických nástrojů. Udržování softwaru aktuálního je jedním z klíčových kroků, které mohou jednotlivci i organizace podniknout, aby se chránili před podobnými hrozbami.
Zdroje:
