تتيح عمليات استغلال برامج التجسس القوية ظهور سلسلة جديدة من هجمات “فتحة الري”.
في السنوات الأخيرة، قام نخبة بائعي برامج التجسس التجارية، مثل Intellexa وNSO Group، بتطوير مجموعة من أدوات القرصنة القوية التي تستغل ثغرات برمجية “يوم الصفر” النادرة وغير المصححة لاختراق أجهزة الضحايا. وعلى نحو متزايد، برزت الحكومات في جميع أنحاء العالم باعتبارها المصدر الرئيسي لبرامج التجسس. عملاء لهذه الأدوات، مما يعرض الهواتف الذكية لزعماء المعارضة والصحفيين والناشطين والمحامين وغيرهم، يوم الخميس، إلى نشر مجموعة تحليل التهديدات التابعة لشركة Google نتائج حول سلسلة من حملات القرصنة الأخيرة – التي نفذتها على ما يبدو شركة APT 29 Cozy الروسية سيئة السمعة. عصابة الدب – التي تتضمن عمليات استغلال مشابهة جدًا لتلك التي طورتها Intellexa ومجموعة NSO في نشاط التجسس المستمر.
بين نوفمبر 2023 ويوليو 2024، اخترق المهاجمون مواقع الحكومة المنغولية واستخدموا الوصول لتنفيذ هجمات “حفرة الماء”، حيث يتم اختراق أي شخص لديه جهاز ضعيف يقوم بتحميل موقع ويب مخترق. كتب Google TAG يوم الخميس أن المهاجمين أنشأوا البنية التحتية الضارة لاستخدام عمليات استغلال “كانت متطابقة أو مشابهة بشكل لافت للنظر لبرامج استغلال كانت تستخدم سابقًا من قبل بائعي المراقبة التجارية Intellexa وNSO Group”. ويقول الباحثون إنهم “يقيمون بثقة معتدلة” أن الحملات نفذتها APT 29.
استغلت أدوات القرصنة الشبيهة ببرامج التجسس هذه نقاط الضعف في نظامي التشغيل iOS من Apple ونظام Android من Google والتي تم تصحيحها بالفعل إلى حد كبير. في الأصل، تم نشرها من قبل بائعي برامج التجسس باعتبارها عمليات استغلال غير مسبوقة. ولكن في هذا التكرار، كان المتسللون الروس المشتبه بهم يستخدمونها لاستهداف الأجهزة التي لم يتم تحديثها بهذه الإصلاحات.
وكتب باحثو TAG: “على الرغم من أننا غير متأكدين من كيفية حصول الجهات الفاعلة المشتبه بها في APT29 على هذه الثغرات، فإن بحثنا يؤكد مدى انتشار الثغرات التي طورتها صناعة المراقبة التجارية لأول مرة إلى جهات التهديد الخطيرة”. “علاوة على ذلك، تظل هجمات حفر المياه تشكل تهديدًا حيث يمكن استخدام عمليات استغلال متطورة لاستهداف أولئك الذين يزورون المواقع بانتظام، بما في ذلك على الأجهزة المحمولة. لا يزال من الممكن أن تظل فتحات الري وسيلة فعالة لـ… الاستهداف الجماعي للسكان الذين ربما ما زالوا يشغلون متصفحات غير مصححة.
من الممكن أن يكون المتسللون قد اشتروا برامج التجسس وقاموا بتعديلها أو أنهم سرقوها أو حصلوا عليها من خلال التسريب. ومن الممكن أيضًا أن يكون المتسللون قد استوحوا أفكارهم من عمليات استغلال تجارية وقاموا بهندسة عكسية لها من خلال فحص أجهزة الضحية المصابة.
بين نوفمبر 2023 وفبراير 2024، استخدم المتسللون ثغرة iOS وSafari التي كانت مطابقة تقنيًا لعرض Intellexa الذي ظهر لأول مرة قبل شهرين باعتباره Zero-day غير مُصحح في سبتمبر 2023. وفي يوليو 2024، استخدم المتسللون أيضًا Chrome استغلال مقتبس من أداة NSO Group التي ظهرت لأول مرة في مايو 2024. وتم استخدام أداة القرصنة الأخيرة هذه جنبًا إلى جنب مع برنامج إكسبلويت الذي يحتوي على أوجه تشابه قوية مع برنامج Intellexa الذي ظهر لأول مرة في سبتمبر 2021.
عندما يستغل المهاجمون الثغرات الأمنية التي تم تصحيحها بالفعل، يُعرف هذا النشاط باسم “الاستغلال لمدة يوم واحد”، لأن الثغرة الأمنية لا تزال موجودة ويمكن إساءة استخدامها في الأجهزة غير المصححة مع مرور الوقت. قام المتسللون الروس المشتبه بهم بدمج أدوات التجسس التجارية المجاورة، لكنهم أنشأوا حملاتهم الشاملة – بما في ذلك توصيل البرامج الضارة والنشاط على الأجهزة المخترقة – بشكل مختلف عما يفعله عميل برامج التجسس التجاري النموذجي. ويشير هذا إلى مستوى من الطلاقة والكفاءة التقنية المميزة لمجموعة قرصنة راسخة ومدعومة من الدولة تتمتع بموارد جيدة.
“في كل تكرار لحملات التنقيب، استخدم المهاجمون برمجيات إكسبلويت متطابقة أو مشابهة بشكل لافت للنظر لبرمجيات إكسبلويت من [commercial surveillance vendors]وكتبت شركة TAG: “إن Intellexa وNSO Group”. “لا نعرف كيف حصل المهاجمون على هذه الثغرات. ما هو واضح هو أن الجهات الفاعلة في APT تستخدم ثغرات n-day التي تم استخدامها في الأصل كـ 0-day بواسطة ملفات CSV.
