Theo thông tin từ Nhóm Phân tích mối đe dọa của Google (TAG), họ đã phát hiện các tin tặc được cho là được chính phủ Nga hậu thuẫn, sử dụng công cụ gián điệp thương mại từ NSO Group và Intellexa trong các cuộc tấn công mạng. Nhóm tin tặc APT29, hay còn gọi là Cozy Bear, đã khai thác các lỗ hổng zero-day trên iOS và Chrome để xâm nhập vào các trang web chính phủ Mông Cổ, đánh cắp cookie và dữ liệu nhạy cảm từ trình duyệt. Các lỗ hổng này ban đầu được sử dụng bởi các công ty gián điệp như Intellexa và NSO Group, nhưng sau đó bị các tin tặc này lợi dụng.
Nhóm tin tặc APT29 đã thực hiện nhiều cuộc tấn công từ năm 2023 đến 2024, nhắm vào các mục tiêu khác nhau bao gồm người dùng iOS và Chrome. Chúng sử dụng các lỗ hổng bảo mật như CVE-2023-41993, CVE-2024-5274 và CVE-2024-4671 để thực hiện các cuộc tấn công "watering hole" hay còn được biết đến là phương pháp cài mã độc vào các trang web mà mục tiêu truy cập thường xuyên. Google cảnh báo dù các công ty gián điệp thương mại cam kết chỉ bán phần mềm cho chính phủ các nước được cho là có uy tín, nhưng các công cụ này vẫn bị lạm dụng bởi những kẻ xấu, gây ra nguy cơ lớn đối với an ninh mạng toàn cầu.
Vẫn chưa rõ cách thức APT29 có được những công cụ khai thác này. Các giả thuyết đưa ra bao gồm việc hack từ chính các công ty gián điệp, mua từ các tay môi giới lỗ hổng, hoặc tuyển dụng nội gián bên trong các công ty này. Điều này làm dấy lên lo ngại về sự lan truyền của các công cụ gián điệp đến tay các nhóm đe dọa được chính phủ hậu thuẫn, nhấn mạnh sự cần thiết phải vá lỗi các lỗ hổng zero-day một cách nhanh chóng.
Bình luận (0)