Google 的威脅分析小組(TAG)揭露了一系列複雜的網路攻擊,據信這些攻擊由與俄羅斯情報機構有關聯的駭客組織 APT29 實施。這些攻擊利用的漏洞利用程式與有爭議的間諜軟體供應商 NSO Group 和 Intellexa 開發的漏洞利用程式驚人地相似。
一個隱藏在網路威脅世界中的神秘人物,反映了與國家支援的網路攻擊相關的現代駭客組織的複雜性 |
水坑攻擊戰術針對蒙古政府網站
在2023年11月至2024年7月期間,駭客入侵了蒙古政府網站以進行水坑攻擊。這種技術涉及感染特定目標群體經常訪問的合法網站,可能會危及訪問該網站的任何易受攻擊的裝置。
商業間諜軟體漏洞被重新利用
攻擊者使用的漏洞利用程式要麼與 NSO Group 和 Intellexa 先前使用的完全相同,要麼非常相似:
- 一個與 Intellexa 2023年9月零日漏洞相匹配的 iOS/Safari 漏洞利用
- 一個改編自 NSO Group 2024年5月工具的 Chrome 漏洞利用
- 另一個類似於 Intellexa 2021年9月提供的漏洞利用
雖然這些漏洞利用針對的漏洞大多已被修復,但它們對未打補丁的裝置仍然有效。
對網路安全格局的影響
這次行動突顯了幾個令人擔憂的趨勢:
- 強大的駭客工具從商業間諜軟體供應商擴散到國家支援的威脅行為者
- 水坑攻擊的持續有效性,尤其是針對移動裝置
- 及時修補和軟體更新的重要性
Google 研究人員指出,目前尚不清楚 APT29 是如何獲得這些漏洞利用的,他們提出了包括購買、盜竊或逆向工程等可能性。
行業反應
NSO Group 否認向俄羅斯出售產品,聲稱他們的技術僅銷售給經過稽核的美國和以色列盟友的情報和執法機構。
這一事件凸顯了商業間諜軟體開發商、國家支援的駭客組織和全球網路安全生態系統之間複雜的相互作用。它也再次提醒我們,所有行業都需要採取強有力的安全措施和及時的軟體更新。