Google Threat Analysisrapport: spywaremakers en Russische cyberspionnen delen dezelfde beveiligingslekken

Matthieu Van Steenkiste Freelance medewerker Data News

Freelance medewerker Data News 30-08-2024, 12:47 Bijgewerkt op: 30-08-2024, 14:09

Het recentste rapport van Google’s Threat Analysis Group (TAG) maakt melding van een opvallend patroon. Een aan het Kremlin gelinkte cyberspionageploeg en commerciële spywaremakers blijken op dezelfde manier van specifieke beveiligingslekken gebruik te maken.

Volgens het TAG-team heeft een groep met de naam APT29, naar verluidt onder leiding van de Russische overheid, de websites van het Mongoolse kabinet en het ministerie van Buitenlandse Zaken geïnfecteerd. Daarvoor maakten ze misbruik van bekende zwakke plekken in Apple’s iOS en Chrome op Android om apparaten van de bezoekers van de sites te kapen, wat bekend staat als een watering hole-aanval. Hierbij wordt een website die waardevolle internetgebruikers vaak bezoeken gecompromitteerd, zodat die op zijn beurt kan worden gebruikt om die bezoekers in het vizier te nemen.

APT29 staat ook bekend als Cozy Bear, de groep vermoedelijke Russische cyberspionnen die de servers van de democratische partij in de VS plunderden en achter Europese overheidsdoelen aangingen. Dezelfde groep zat achter het achterdeurtje in de toeleveringsketen van SolarWinds en las zelfs interne e-mails van Microsoft.

Ongewenste bedrijven

Wat het TAG-team ontdekte, is dat de exploitcode die bij de Mongoolse hack werd ingezet, wel erg dicht in de buurt komt van wat commerciële spywareleveranciers als NSO Group en Intellexa aanbieden. ‘In elke iteratie van de watering hole-campagnes gebruikten de aanvallers exploits die identiek of opvallend gelijk waren aan exploits die eerder werden gebruikt door commerciële spywareleveranciers (CSV’s) Intellexa en NSO Group’, leest het rapport. De exploit in deze aanval gebruikte exact dezelfde trigger als Intellexa, wat suggereert dat de auteurs of de leveranciers hetzelfde zijn. We weten niet hoe de aanvallers in deze recente watering hole-campagnes aan deze exploit zijn gekomen.’

Apple en Google hebben het lek in hun software ondertussen gedicht.

Commerciële spywaremakers zijn al langer controversieel en liggen ook meer en meer onder vuur. Zo heeft Meta NSO Group aangeklaagd voor het compromitteren van WhatsApp-gebruikers, en ook Apple werkt aan een rechtszaak. Het bestempelt de software van het bedrijf als ‘huurlingen-spyware’. Ook Intellexa krijgt het hard te verduren. In mei legde het Amerikaanse Ministerie van Financiën medewerkers van het bedrijf sancties op omdat de bewakingssoftware naar verluidt was gebruikt om overheidsfunctionarissen en journalisten in de gaten te houden. Intellexa werd ook toegevoegd aan een lijst van ongewenste bedrijven.

Bedreiging

‘Hoewel we niet zeker weten hoe de vermoedelijke APT29-actoren aan deze exploits zijn gekomen, onderstreept ons onderzoek de mate waarin exploits die in eerste instantie zijn ontwikkeld door de commerciële surveillance-industrie worden verspreid onder gevaarlijke bedreigingsactoren’, concludeerde het TAG-team. ‘Bovendien blijven dit soort watering hole-aanvallen een bedreiging waarbij geavanceerde exploits kunnen worden gebruikt om mensen aan te vallen die regelmatig sites bezoeken, ook op mobiele apparaten.’

Lees meer over: