Son yıllarda, Intellexa ve NSO Group gibi seçkin ticari casus yazılım satıcıları, kurban cihazlarını tehlikeye atmak için nadir ve yamalanmamış “sıfır gün” yazılım güvenlik açıklarından yararlanan bir dizi güçlü bilgisayar korsanlığı aracı geliştirdiler. Ve giderek artan bir şekilde, dünya çapındaki hükümetler bu araçların başlıca müşterileri olarak ortaya çıktı ve muhalif liderlerin, gazetecilerin, aktivistlerin, avukatların ve diğerlerinin akıllı telefonlarını tehlikeye attılar. Ancak Perşembe günü, Google’ın Tehdit Analizi Grubu, görünüşe göre Rusya’nın kötü şöhretli APT 29 Cozy Bear çetesi tarafından yürütülen ve Intellexa ve NSO Group tarafından geliştirilenlere çok benzer istismarları devam eden casusluk faaliyetlerine dahil eden bir dizi son bilgisayar korsanlığı kampanyası hakkında bulgular yayınladı.
Saldırganlar, Kasım 2023 ile Temmuz 2024 arasında Moğolistan hükümet web sitelerini ele geçirdi ve erişimi, ele geçirilmiş bir web sitesini yükleyen savunmasız bir cihaza sahip olan herkesin saldırıya uğradığı “sulama deliği” saldırıları gerçekleştirmek için kullandı. Google TAG, Perşembe günü saldırganların kötü amaçlı altyapıyı, “ticari gözetim satıcıları Intellexa ve NSO Group tarafından daha önce kullanılan istismarlarla aynı veya çarpıcı biçimde benzer” istismarları kullanmak için kurduğunu yazdı. Araştırmacılar, kampanyaların APT 29 tarafından gerçekleştirildiğini “orta düzeyde güvenle değerlendirdiklerini” söylüyorlar.
Bu casus yazılım benzeri hackleme araçları, Apple’ın iOS ve Google’ın Android’indeki büyük ölçüde zaten yamalanmış olan güvenlik açıklarını istismar etti. Başlangıçta, casus yazılım satıcıları tarafından yamalanmamış, sıfır günlük istismarlar olarak dağıtıldılar; ancak bu yinelemede, şüpheli Rus hacker’lar bunları bu düzeltmelerle güncellenmemiş cihazları hedeflemek için kullanıyorlardı.
“Şüpheli APT29 aktörlerinin bu istismarları nasıl edindiğinden emin olmasak da, araştırmamız ticari gözetim endüstrisi tarafından ilk geliştirilen istismarların tehlikeli tehdit aktörlerine ne ölçüde yayıldığını vurguluyor,” diye yazdı TAG araştırmacıları. “Üstelik, watering hole saldırıları, mobil cihazlar da dahil olmak üzere siteleri düzenli olarak ziyaret edenleri hedeflemek için karmaşık istismarların kullanılabileceği bir tehdit olmaya devam ediyor. Watering holes, hala yamalanmamış tarayıcılar çalıştırabilecek bir nüfusu kitlesel olarak hedeflemek için etkili bir yol olabilir.”
Bilgisayar korsanlarının casus yazılım istismarlarını satın alıp uyarlamış olması veya bunları çalmış veya bir sızıntı yoluyla edinmiş olması mümkündür. Bilgisayar korsanlarının ticari istismarlardan esinlenmiş olması ve enfekte kurban cihazlarını inceleyerek bunları tersine mühendislik yoluyla uygulamış olması da mümkündür.
Kasım 2023 ile Şubat 2024 arasında, bilgisayar korsanları, Intellexa’nın birkaç ay önce Eylül 2023’te yama uygulanmamış bir sıfır gün olarak ilk kez piyasaya sürdüğü bir teklifle teknik olarak aynı olan bir iOS ve Safari açığını kullandılar. Temmuz 2024’te bilgisayar korsanları, ilk olarak Mayıs 2024’te ortaya çıkan bir NSO Group aracından uyarlanan bir Chrome açığını da kullandılar. Bu son hackleme aracı, Intellexa’nın Eylül 2021’de piyasaya sürdüğü bir açıkla güçlü benzerliklere sahip bir açıkla birlikte kullanıldı.
Saldırganlar daha önceden yamalanmış güvenlik açıklarını istismar ettiğinde, bu faaliyet “n günlük istismar” olarak bilinir, çünkü güvenlik açığı hala mevcuttur ve zaman geçtikçe yamalanmamış cihazlarda kötüye kullanılabilir. Şüpheli Rus hacker’lar ticari casus yazılıma bitişik araçları dahil ettiler, ancak genel kampanyalarını (kötü amaçlı yazılım dağıtımı ve tehlikeye atılmış cihazlardaki faaliyet dahil) tipik bir ticari casus yazılım müşterisinden farklı şekilde oluşturdular. Bu, yerleşik ve iyi kaynaklara sahip devlet destekli bir hacker grubunun karakteristik bir akıcılık ve teknik yeterlilik seviyesini gösterir.
“Sulama deliği kampanyalarının her yinelemesinde, saldırganlar, [commercial surveillance vendors]TAG, “Intellexa ve NSO Group” diye yazdı. “Saldırganların bu istismarları nasıl elde ettiğini bilmiyoruz. Açık olan şey, APT aktörlerinin başlangıçta CSV’ler tarafından 0 gün olarak kullanılan n günlük istismarları kullanıyor olması.”