تتيح عمليات استغلال برامج التجسس القوية ظهور سلسلة جديدة من هجمات “فتحة الري”.

في السنوات الأخيرة، قام نخبة بائعي برامج التجسس التجارية، مثل Intellexa وNSO Group، بتطوير مجموعة من أدوات القرصنة القوية التي تستغل الثغرات الأمنية النادرة وغير المصححة في برامج “Zero-day” لاختراق أجهزة الضحايا. وعلى نحو متزايد، برزت الحكومات في جميع أنحاء العالم باعتبارها العملاء الرئيسيين لهذه الأدوات، مما يعرض الهواتف الذكية لزعماء المعارضة والصحفيين والناشطين والمحامين وغيرهم للخطر. ومع ذلك، تنشر مجموعة تحليل التهديدات التابعة لشركة Google، يوم الخميس، نتائج حول سلسلة من حملات القرصنة الأخيرة – التي نفذتها على ما يبدو عصابة APT29 Cozy Bear الروسية سيئة السمعة – والتي تتضمن عمليات استغلال مشابهة جدًا لتلك التي طورتها Intellexa وNSO Group في نشاط تجسس مستمر.

بين نوفمبر 2023 ويوليو 2024، اخترق المهاجمون مواقع الحكومة المنغولية واستخدموا الوصول لتنفيذ هجمات “حفرة الماء”، حيث يتم اختراق أي شخص لديه جهاز ضعيف يقوم بتحميل موقع ويب مخترق. أنشأ المهاجمون البنية التحتية الضارة لاستخدام عمليات استغلال “كانت متطابقة أو مشابهة بشكل لافت للنظر لبرامج استغلال كانت تستخدم سابقًا من قبل بائعي المراقبة التجارية Intellexa وNSO Group”، حسبما كتبت TAG من Google يوم الخميس. ويقول الباحثون إنهم “يقيمون بثقة معتدلة” أن الحملات قد نفذتها APT29.

استغلت أدوات القرصنة الشبيهة ببرامج التجسس هذه نقاط الضعف في نظامي التشغيل iOS من Apple ونظام Android من Google والتي تم تصحيحها بالفعل إلى حد كبير. في الأصل، تم نشرها من قبل بائعي برامج التجسس باعتبارها عمليات استغلال غير مسبوقة، ولكن في هذا التكرار، كان المتسللون الروس المشتبه بهم يستخدمونها لاستهداف الأجهزة التي لم يتم تحديثها بهذه الإصلاحات.

وكتب باحثو TAG: “على الرغم من أننا غير متأكدين من كيفية حصول الجهات الفاعلة المشتبه بها في APT29 على هذه الثغرات، فإن بحثنا يؤكد مدى انتشار الثغرات التي طورتها صناعة المراقبة التجارية لأول مرة إلى جهات التهديد الخطيرة”. “علاوة على ذلك، تظل هجمات حفر المياه تشكل تهديدًا حيث يمكن استخدام عمليات استغلال متطورة لاستهداف أولئك الذين يزورون المواقع بانتظام، بما في ذلك على الأجهزة المحمولة. لا يزال من الممكن أن تظل فتحات الري وسيلة فعالة لـ… الاستهداف الجماعي للسكان الذين ربما ما زالوا يشغلون متصفحات غير مصححة.

من الممكن أن يكون المتسللون قد اشتروا برامج التجسس وقاموا بتعديلها أو أنهم سرقوها أو حصلوا عليها من خلال التسريب. ومن الممكن أيضًا أن يكون المتسللون قد استوحوا أفكارهم من عمليات استغلال تجارية وقاموا بهندسة عكسية لها من خلال فحص أجهزة الضحية المصابة.

بين نوفمبر 2023 وفبراير 2024، استخدم المتسللون ثغرة iOS وSafari التي كانت مطابقة تقنيًا للعرض الذي أطلقته Intellexa لأول مرة قبل شهرين كثغرة يوم صفر غير مُصححة في سبتمبر 2023. وفي يوليو 2024، استخدم المتسللون أيضًا استغلال Chrome مقتبس من أداة NSO Group التي ظهرت لأول مرة في مايو 2024. وتم استخدام أداة القرصنة الأخيرة هذه جنبًا إلى جنب مع برمجية استغلال لها أوجه تشابه قوية مع أداة Intellexa التي ظهرت لأول مرة في سبتمبر 2021.

عندما يستغل المهاجمون الثغرات الأمنية التي تم تصحيحها بالفعل، يُعرف هذا النشاط باسم “الاستغلال لمدة يوم واحد”، لأن الثغرة الأمنية لا تزال موجودة ويمكن إساءة استخدامها في الأجهزة غير المصححة مع مرور الوقت. قام المتسللون الروس المشتبه بهم بدمج أدوات التجسس التجارية المجاورة، لكنهم قاموا ببناء حملاتهم الشاملة – بما في ذلك توصيل البرامج الضارة والنشاط على الأجهزة المخترقة – بشكل مختلف عما يفعله عميل برامج التجسس التجاري النموذجي. ويشير هذا إلى مستوى من الطلاقة والكفاءة التقنية المميزة لمجموعة قرصنة راسخة ومدعومة من الدولة تتمتع بموارد جيدة.

“في كل تكرار لحملات التنقيب، استخدم المهاجمون برمجيات إكسبلويت متطابقة أو مشابهة بشكل لافت للنظر لبرمجيات إكسبلويت من [commercial surveillance vendors]وكتبت شركة TAG: “إن Intellexa وNSO Group”. “لا نعرف كيف حصل المهاجمون على هذه الثغرات. ما هو واضح هو أن الجهات الفاعلة في APT تستخدم ثغرات n-day التي تم استخدامها في الأصل كـ 0-day بواسطة ملفات CSV.