عثر قراصنة تابعون للحكومة الروسية على عمليات استغلال قامت بها شركات برامج التجسس NSO وIntellexa

تقول شركة Google إن لديها أدلة على أن قراصنة الحكومة الروسية يستخدمون برامج استغلال “متطابقة أو مشابهة بشكل لافت للنظر” لتلك التي قامت بها سابقًا شركتا برامج التجسس Intellexa وNSO Group.

وفي تدوينة يوم الخميس، قالت جوجل إنها غير متأكدة من كيفية حصول الحكومة الروسية على هذه الثغرات، لكنها قالت إن هذا مثال على كيف يمكن أن تنتهي الثغرات التي طورها صانعو برامج التجسس في أيدي “الجهات الفاعلة الخطرة”.

وفي هذه الحالة، تقول جوجل إن الجهات الفاعلة في التهديد هي APT29، وهي مجموعة من المتسللين المنسوبة على نطاق واسع إلى جهاز المخابرات الخارجية الروسي، أو SVR. APT29 هي مجموعة من المتسللين ذوي القدرات العالية، ومعروفة بحملاتها الطويلة والمستمرة التي تهدف إلى إجراء عمليات تجسس وسرقة بيانات ضد مجموعة من الأهداف، بما في ذلك عمالقة التكنولوجيا Microsoft وSolarWinds، بالإضافة إلى الحكومات الأجنبية.

قالت جوجل إنها عثرت على كود الاستغلال المخفي مضمنًا في مواقع الحكومة المنغولية بين نوفمبر 2023 ويوليو 2024. خلال هذا الوقت، من المحتمل أن يكون أي شخص زار هذه المواقع باستخدام جهاز iPhone أو Android قد تعرض للاختراق وسرقة بياناته، بما في ذلك كلمات المرور، فيما يُعرف باسم هجوم “حفرة الماء”.

واستغلت هذه الثغرات نقاط الضعف في متصفح Safari على iPhone وGoogle Chrome على Android والتي تم إصلاحها بالفعل في وقت الحملة الروسية المشتبه بها. ومع ذلك، فإن هذه الثغرات قد تكون فعالة في اختراق الأجهزة غير المصححة.

وفقًا لمنشور المدونة، تم تصميم الاستغلال الذي يستهدف أجهزة iPhone وiPad لسرقة ملفات تعريف الارتباط لحساب المستخدم المخزنة في Safari على وجه التحديد عبر مجموعة من موفري البريد الإلكتروني عبر الإنترنت الذين يستضيفون الحسابات الشخصية وحسابات العمل للحكومة المنغولية. يمكن للمهاجمين استخدام ملفات تعريف الارتباط المسروقة للوصول بعد ذلك إلى تلك الحسابات الحكومية. وقالت جوجل إن الحملة التي تستهدف أجهزة أندرويد استخدمت اثنتين من عمليات الاستغلال المنفصلة معًا لسرقة ملفات تعريف الارتباط الخاصة بالمستخدم المخزنة في متصفح كروم.

قال الباحث الأمني في Google، كليمنت ليسين، الذي كتب منشور المدونة، لـ TechCrunch أنه من غير المعروف على وجه اليقين من كان قراصنة الحكومة الروسية يستهدفون في هذه الحملة. وأضاف: “ولكن بناءً على مكان استضافة الثغرات ومن يزور هذه المواقع عادةً، نعتقد أن موظفي الحكومة المنغولية كانوا هدفًا محتملاً”.

وقال ليسين، الذي يعمل في مجموعة تحليل التهديدات التابعة لشركة جوجل، وهي وحدة الأبحاث الأمنية التي تحقق في التهديدات السيبرانية المدعومة من الحكومة، إن جوجل تربط إعادة استخدام الكود بروسيا لأن الباحثين لاحظوا سابقًا نفس كود سرقة ملفات تعريف الارتباط الذي استخدمته APT29 خلال عملية سابقة. الحملة في عام 2021.

منظر بعيد لمقر جهاز المخابرات الخارجية الروسية (SVR) خارج موسكو تم التقاطه في 29 يونيو 2010. اعتمادات الصورة: أليكسي سازونوف / أ ف ب / غيتي إيماجز

اعتمادات الصورة: أليكسي سازونوف / جيتي إيماجيس

ويبقى السؤال الرئيسي: كيف حصل قراصنة الحكومة الروسية على كود الاستغلال في البداية؟ وقالت جوجل إن كلا النسختين لحملة Watering Hole التي استهدفت الحكومة المنغولية استخدمت تعليمات برمجية تشبه أو تطابق عمليات الاستغلال من Intellexa وNSO Group. تشتهر هاتان الشركتان بتطوير برامج استغلال قادرة على تقديم برامج تجسس يمكنها اختراق هواتف iPhone وAndroid المصححة بالكامل.

وقالت جوجل إن كود الاستغلال المستخدم في هجوم Watering Hole الذي استهدف مستخدمي Chrome على Android شارك في “مشغل مشابه جدًا” مع استغلال تم تطويره مسبقًا بواسطة NSO Group. في حالة الاستغلال الذي يستهدف أجهزة iPhone وiPad، قالت Google إن الكود استخدم “نفس المشغل تمامًا مثل الاستغلال الذي تستخدمه Intellexa”، والذي قالت Google إنه يشير بقوة إلى أن مؤلفي أو مزودي الاستغلال “هم نفس الشيء”.

وعندما سئل من قبل TechCrunch عن إعادة استخدام كود الاستغلال، قال Lecigne: “لا نعتقد أن الممثل قد أعاد إنشاء الاستغلال”، مستبعدًا احتمال اكتشاف الاستغلال بشكل مستقل من قبل المتسللين الروس.

قال ليسين: “هناك احتمالات متعددة حول كيفية حصولهم على نفس البرمجيّة المستغلة، بما في ذلك شرائها بعد تصحيحها أو سرقة نسخة من البرمجيّة المستغلة من عميل آخر”.

وقالت جوجل إنه يجب على المستخدمين “تطبيق التصحيحات بسرعة” والحفاظ على تحديث البرامج للمساعدة في منع الهجمات الإلكترونية الضارة. وفقًا لـ Lecigne، فإن مستخدمي iPhone وiPad الذين لديهم ميزة الأمان العالي Lockdown Mode قيد التشغيل لم يتأثروا حتى عند تشغيل إصدار برنامج ضعيف.

اتصلت TechCrunch بالسفارة الروسية في واشنطن العاصمة والبعثة المنغولية الدائمة لدى الأمم المتحدة في نيويورك للتعليق، لكنها لم تتلق أي رد حتى وقت نشر المقالة. ولم يتسن الوصول إلى Intellexa للتعليق، ولم ترد مجموعة NSO على طلب للتعليق. ولم يستجب المتحدث باسم شركة أبل، شين باور، لطلب التعليق.