В мире цифровых баталий разворачивается тревожная история, где границы между государственным шпионажем и коммерческой киберпреступностью размываются. Google обнародовала шокирующие доказательства того, что российские правительственные хакеры, предположительно причастные к Службе внешней разведки (СВР), орудуют мощными эксплойтами, идентичными или поразительно похожими на те, которые разрабатывались скандально известными компаниями NSO Group и Intellexa.
APT29: Тень над Монголией
В центре внимания – группа APT29, прозванная экспертами «Cozy Bear» или «The Dukes», которая давно славится своей хладнокровной стратегией долгосрочных кибер-кампаний. Их мишени – от технологических гигантов вроде Microsoft и SolarWinds до иностранных правительств. Теперь к списку жертв добавилась Монголия.
С ноября 2023 по июль 2024 года, как утверждает Google, APT29 тайно внедрила вредоносный код на веб-сайтах монгольского правительства. Любой, кто посещал эти сайты с iPhone или Android, рисковал стать жертвой «водяного колодца» – подлого приема, при котором злоумышленники заражают устройства посетителей через казалось бы безобидные ресурсы.
Взлом без шансов: Эксплойты из арсенала шпиона
В распоряжении хакеров оказались эксплойты, вызывающие уязвимости в браузере Safari на iPhone и Google Chrome на Android. К счастью, эти уязвимости уже были исправлены к моменту атаки, но для незащищенных устройств они оставались смертельно опасными.
- iPhone и iPad под прицелом: Эксплойт, разработанный специально для Apple-устройств, был нацелен на кражу файлов cookie учетных записей пользователей из браузера Safari. Целью были онлайн-провайдеры электронной почты, обслуживающие личные и рабочие аккаунты монгольских государственных служащих. Злоумышленники могли бы использовать украденные данные для несанкционированного доступа к этим аккаунтам.
- Android под ударом: Атака на устройства Android использовала два отдельных эксплойта, направленных на кражу файлов cookie из браузера Chrome.
Google связывает этот эпизод с APT29 благодаря схожести кода с предыдущими кампаниями этой группы в 2021 году. Более того, эксперты обнаружили поразительное сходство эксплойтов с инструментами NSO Group и Intellexa – компаний, специализирующихся на разработке «нулевых дней» – уязвимостей, позволяющих взламывать даже исправленные устройства.
Загадка происхождения: Как российские хакеры получили шпионское оружие?
Ключевым вопросом остается: откуда у российских хакеров появились эти мощные эксплойты? Google не исключает нескольких сценариев:
- Покупка на черном рынке: Возможно, эксплойты были приобретены после их исправления у других клиентов NSO Group или Intellexa.
- Кража из базы данных: Злоумышленники могли взломать системы компаний-разработчиков и украсть исходный код эксплойтов.
Независимо от источника, факт использования такого высокотехнологичного оружия в руках российских хакеров вызывает серьезные опасения. Это подчеркивает растущую угрозу кибершпионажа и необходимость усиления мер безопасности для защиты государственных систем и личных данных.
Призыв к действию: Будьте бдительны!
Google призывает пользователей оперативно устанавливать обновления программного обеспечения и быть предельно внимательными при посещении веб-сайтов, особенно если они связаны с государственными учреждениями. В данном случае режим блокировки с высокой степенью защиты на iPhone и iPad помог защитить пользователей от эксплойтов, но это лишь один из инструментов в борьбе с киберугрозами.
Эта история – тревожный звонок о том, что границы между коммерческой киберпреступностью и государственным шпионажем размываются. В мире, где цифровые атаки становятся все более изощренными, бдительность и своевременные меры предосторожности – наш главный щит.
