Getty Images Los críticos de los vendedores de spyware y exploits han advertido durante mucho tiempo que el hackeo avanzado vendido por los vendedores de vigilancia comercial (CSV) representa un peligro mundial porque inevitablemente termina en manos de partes maliciosas, incluso cuando los CSV prometen que se utilizarán solo para atacar a criminales conocidos. El jueves, los analistas de Google presentaron evidencia que refuerza la crítica después de encontrar que los espías que trabajan en nombre del Kremlin usaron exploits que son «idénticos o sorprendentemente similares» a los vendidos por los fabricantes de spyware Intellexa y NSO Group. Se estima que el equipo de piratería, rastreado bajo nombres como APT29, Cozy Bear y Midnight Blizzard, trabaja en nombre del Servicio de Inteligencia Exterior de Rusia, o SVR. Los investigadores del Grupo de Análisis de Amenazas de Google, que rastrea el hackeo de estados nacionales, dijeron el jueves que observaron que APT29 usaba exploits idénticos o muy idénticos a los utilizados por primera vez por los vendedores de exploits comerciales NSO Group de Israel e Intellexa de Irlanda. En ambos casos, los exploits de los vendedores de vigilancia comercial se usaron primero como días cero, es decir, cuando las vulnerabilidades no eran conocidas públicamente y no había ningún parche disponible. Idénticos o sorprendentemente similares Una vez que los parches estuvieron disponibles para las vulnerabilidades, dijo TAG, APT29 usó los exploits en ataques de abrevadero, que infectan a los objetivos plantando subrepticiamente exploits en sitios que se sabe que frecuentan. TAG dijo que APT29 usó los exploits como n-days, que apuntan a vulnerabilidades que se han solucionado recientemente pero que aún no han sido ampliamente instaladas por los usuarios. «En cada iteración de las campañas de abrevadero, los atacantes usaron exploits que eran idénticos o sorprendentemente similares a los exploits de CSV, Intellexa y NSO Group», escribió Clement Lecigne de TAG. «No sabemos cómo los atacantes adquirieron estos exploits. Lo que está claro es que los actores de APT están usando exploits de n-day que originalmente fueron utilizados como días cero por CSV». En un caso, dijo Lecigne, TAG observó que APT29 comprometía los sitios del gobierno de Mongolia mfa.gov[.]mn y gabinete.gov[.]mn y plantando un enlace que cargaba código que explotaba CVE-2023-41993, una falla crítica en el motor del navegador WebKit. Los agentes rusos utilizaron la vulnerabilidad, cargada en los sitios en noviembre, para robar cookies del navegador para acceder a las cuentas en línea de los objetivos que esperaban comprometer. El analista de Google dijo que el exploit APT29 «utilizó exactamente el mismo desencadenador» que un exploit que Intellexa utilizó en septiembre de 2023, antes de que se hubiera corregido CVE-2023-41993. Lecigne proporcionó la siguiente imagen que muestra una comparación en paralelo del código utilizado en cada ataque. Ampliar / Una comparación en paralelo del código utilizado por APT29 en noviembre de 2023 e Intellexa en septiembre de ese año. Google TAG APT29 utilizó el mismo exploit nuevamente en febrero de este año en un ataque de abrevadero en el sitio web del gobierno de Mongolia mga.gov[.]En julio de 2024, APT29 plantó un nuevo ataque de robo de cookies en mga.gov[.]yo. Explotó CVE-2024-5274 y CVE-2024-4671, dos vulnerabilidades de n-day en Google Chrome. Lecigne dijo que el exploit CVE-2024-5274 de APT29 era una versión ligeramente modificada del que NSO Group usó en mayo de 2024 cuando todavía era un día cero. El exploit para CVE-2024-4671, mientras tanto, contenía muchas similitudes con CVE-2021-37973, un exploit que Intellexa había usado previamente para evadir las protecciones sandbox de Chrome. La cronología de los ataques se ilustra a continuación: Google TAG Como se señaló anteriormente, no está claro cómo APT29 habría obtenido los exploits. Las posibilidades incluyen: personas malintencionadas dentro de los CSV o corredores que trabajaron con los CSV, hacks que robaron el código o compras directas. Ambas empresas defienden su negocio prometiendo vender exploits solo a gobiernos de países considerados de buena reputación a nivel mundial. La evidencia descubierta por TAG sugiere que, a pesar de esas garantías, los exploits están llegando a manos de grupos de piratas informáticos respaldados por los gobiernos. “Si bien no estamos seguros de cómo los presuntos actores de APT29 adquirieron estos exploits, nuestra investigación subraya hasta qué punto los exploits desarrollados inicialmente por la industria de la vigilancia comercial se propagan a actores de amenazas peligrosas”, escribió Lecigne.