Google mengatakan memiliki bukti bahwa peretas pemerintah Rusia menggunakan eksploitasi yang “identik atau sangat mirip” dengan yang sebelumnya dibuat oleh pembuat perangkat lunak mata-mata Intellexa dan NSO Group.
Dalam sebuah posting blog pada hari Kamis, Google mengatakan bahwa mereka tidak yakin bagaimana pemerintah Rusia memperoleh eksploitasi tersebut, tetapi mengatakan bahwa ini adalah contoh bagaimana eksploitasi yang dikembangkan oleh pembuat spyware dapat berakhir di tangan “aktor ancaman berbahaya”.
Dalam kasus ini, Google mengatakan pelaku ancaman tersebut adalah APT29, sekelompok peretas yang secara luas dikaitkan dengan Dinas Intelijen Luar Negeri Rusia, atau SVR. APT29 adalah kelompok peretas yang sangat cakap, yang dikenal karena operasinya yang berlangsung lama dan terus-menerus yang bertujuan melakukan spionase dan pencurian data terhadap berbagai target, termasuk raksasa teknologi Microsoft dan SolarWinds, serta pemerintah asing.
Google mengatakan telah menemukan kode eksploitasi tersembunyi yang disematkan di situs web pemerintah Mongolia antara November 2023 dan Juli 2024. Selama kurun waktu tersebut, siapa pun yang mengunjungi situs tersebut menggunakan perangkat iPhone atau Android dapat mengalami peretasan ponsel dan pencurian data, termasuk kata sandi, dalam apa yang dikenal sebagai serangan “watering hole”.
Eksploitasi tersebut memanfaatkan kerentanan pada peramban Safari di iPhone dan Google Chrome di Android yang telah diperbaiki pada saat dugaan kampanye Rusia. Namun, eksploitasi tersebut tetap efektif dalam membahayakan perangkat yang belum ditambal.
Menurut posting blog tersebut, eksploitasi yang menargetkan iPhone dan iPad dirancang untuk mencuri kuki akun pengguna yang disimpan di Safari khususnya di berbagai penyedia email daring yang menjadi host akun pribadi dan kantor pemerintah Mongolia. Para penyerang dapat menggunakan kuki yang dicuri untuk kemudian mengakses akun pemerintah tersebut. Google mengatakan bahwa kampanye yang ditujukan untuk menargetkan perangkat Android menggunakan dua eksploitasi terpisah secara bersamaan untuk mencuri kuki pengguna yang disimpan di peramban Chrome.
Peneliti keamanan Google Clement Lecigne, yang menulis posting blog tersebut, mengatakan kepada TechCrunch bahwa tidak diketahui secara pasti siapa yang menjadi target peretas pemerintah Rusia dalam kampanye ini. “Namun berdasarkan lokasi hosting eksploitasi dan siapa yang biasanya mengunjungi situs-situs ini, kami yakin bahwa pegawai pemerintah Mongolia kemungkinan menjadi target,” katanya.
Lecigne, yang bekerja di Threat Analysis Group Google, unit penelitian keamanan yang menyelidiki ancaman siber yang didukung pemerintah, mengatakan Google menghubungkan penggunaan kembali kode tersebut dengan Rusia karena para peneliti sebelumnya mengamati kode pencurian cookie yang sama yang digunakan oleh APT29 selama kampanye sebelumnya pada tahun 2021.
Pertanyaan kuncinya adalah: Bagaimana para peretas pemerintah Rusia memperoleh kode eksploitasi tersebut? Google mengatakan kedua iterasi kampanye watering hole yang menargetkan pemerintah Mongolia menggunakan kode yang menyerupai atau cocok dengan eksploitasi dari Intellexa dan NSO Group. Kedua perusahaan ini dikenal mengembangkan eksploitasi yang mampu mengirimkan spyware yang dapat membahayakan iPhone dan ponsel Android yang telah ditambal sepenuhnya.
Google mengatakan kode eksploitasi yang digunakan dalam serangan watering hole yang menargetkan pengguna Chrome di Android memiliki “pemicu yang sangat mirip” dengan eksploitasi yang dikembangkan sebelumnya oleh NSO Group. Dalam kasus eksploitasi yang menargetkan iPhone dan iPad, Google mengatakan kode tersebut menggunakan “pemicu yang sama persis dengan eksploitasi yang digunakan oleh Intellexa,” yang menurut Google sangat menunjukkan bahwa pembuat atau penyedia eksploitasi “adalah sama.”
Ketika ditanya oleh TechCrunch tentang penggunaan kembali kode eksploitasi, Lecigne berkata: “Kami tidak percaya pelaku tersebut menciptakan kembali eksploitasi tersebut,” mengesampingkan kemungkinan bahwa eksploitasi tersebut ditemukan secara independen oleh para peretas Rusia.
“Ada beberapa kemungkinan bagaimana mereka bisa memperoleh eksploitasi yang sama, termasuk membelinya setelah ditambal atau mencuri salinan eksploitasi dari pelanggan lain,” kata Lecigne.
Google mengatakan pengguna harus “menerapkan patch dengan cepat” dan menjaga perangkat lunak tetap mutakhir untuk membantu mencegah serangan siber yang berbahaya. Menurut Lecigne, pengguna iPhone dan iPad dengan fitur keamanan tinggi Lockdown Mode yang diaktifkan tidak terpengaruh bahkan saat menjalankan versi perangkat lunak yang rentan.
TechCrunch menghubungi Kedutaan Besar Rusia di Washington DC dan Misi Tetap Mongolia untuk Perserikatan Bangsa-Bangsa di New York untuk meminta komentar, tetapi tidak mendapat tanggapan hingga berita ini ditulis. Intellexa tidak dapat dihubungi untuk dimintai komentar, dan NSO Group tidak menanggapi permintaan komentar. Juru bicara Apple Shane Bauer tidak menanggapi permintaan komentar.