Google ha rivelato che un gruppo di hacker russi sta utilizzando exploit "identici o estremamente simili" a quelli sviluppati dalle aziende di spyware Intellexa e NSO Group. Sebbene non sia chiaro come il governo russo sia entrato in possesso di tali exploit, Google ha indicato che si tratta di un esempio di come il codice creato da aziende di spyware possa finire nelle mani di gruppi pericolosi.
In particolare, Google attribuisce gli attacchi al gruppo di hacker noto come APT29, collegato ai servizi di intelligence russi (SVR). APT29 è già famoso per le sue attività di spionaggio, che hanno coinvolto aziende tecnologiche come Microsoft e SolarWinds, oltre a diversi governi stranieri.
Google ha individuato il codice exploit nascosto su siti web del governo mongolo tra novembre 2023 e luglio 2024. Gli utenti che visitavano questi siti con un iPhone o un dispositivo Android rischiavano di essere hackerati, in quello che viene definito un attacco "watering hole". Le vulnerabilità sfruttate riguardavano Safari su iPhone e Chrome su Android. Sebbene queste falle di sicurezza fossero già state corrette, i dispositivi non aggiornati rimanevano vulnerabili.
Gli obiettivi erano i cookie sia su Safari che su Chrome
Nel caso degli iPhone e iPad, l'exploit era progettato per rubare i cookie memorizzati nel browser Safari, concentrandosi sugli account di posta elettronica di funzionari governativi mongoli. Gli hacker potevano poi utilizzare questi cookie per accedere a tali account. Gli attacchi contro Android, invece, utilizzavano due exploit separati per rubare i cookie degli utenti memorizzati su Chrome.
Clement Lecigne, ricercatore di sicurezza presso il Threat Analysis Group di Google, ha dichiarato che, sebbene non sia certo chi fosse l'obiettivo specifico della campagna, si ritiene che i funzionari del governo mongolo fossero tra i principali bersagli. Lecigne ha inoltre spiegato che Google ritiene che gli hacker russi abbiano utilizzato lo stesso codice per gli exploit già osservati in precedenti campagne del 2021.
Google ha consigliato agli utenti di mantenere aggiornati i propri dispositivi per prevenire attacchi informatici, aggiungendo che la modalità Lockdown presente su iPhone e iPad ha protetto coloro che la avevano attivata anche in presenza di versioni software vulnerabili.