Dalam beberapa tahun terakhir, vendor perangkat lunak mata-mata komersial elit seperti Intellexa dan NSO Group telah mengembangkan serangkaian alat peretasan canggih yang mengeksploitasi kerentanan perangkat lunak “zero-day” yang langka dan belum ditambal untuk membahayakan perangkat korban. Dan semakin banyak, pemerintah di seluruh dunia muncul sebagai pelanggan utama untuk alat-alat ini, membahayakan telepon pintar para pemimpin oposisi, jurnalis, aktivis, pengacara, dan lainnya. Namun, pada hari Kamis, Grup Analisis Ancaman Google menerbitkan temuan tentang serangkaian kampanye peretasan baru-baru ini—yang tampaknya dilakukan oleh geng APT 29 Cozy Bear yang terkenal di Rusia—yang menggabungkan eksploitasi yang sangat mirip dengan yang dikembangkan oleh Intellexa dan NSO Group ke dalam aktivitas spionase yang sedang berlangsung.
Antara November 2023 dan Juli 2024, para penyerang membobol situs web pemerintah Mongolia dan menggunakan akses tersebut untuk melakukan serangan “watering hole”, di mana siapa pun yang memiliki perangkat rentan dan membuka situs web yang dibobol akan diretas. Para penyerang menyiapkan infrastruktur berbahaya untuk menggunakan eksploitasi yang “identik atau sangat mirip dengan eksploitasi yang sebelumnya digunakan oleh vendor pengawasan komersial Intellexa dan NSO Group,” tulis Google TAG pada hari Kamis. Para peneliti mengatakan mereka “menilai dengan keyakinan sedang” bahwa operasi tersebut dilakukan oleh APT 29.
Alat peretasan yang mirip spyware ini mengeksploitasi kerentanan pada iOS Apple dan Android Google yang sebagian besar telah ditambal. Awalnya, alat ini digunakan oleh vendor spyware sebagai eksploitasi zero-day yang belum ditambal; tetapi kali ini, para peretas Rusia yang diduga menggunakannya untuk menargetkan perangkat yang belum diperbarui dengan perbaikan ini.
“Meskipun kami tidak yakin bagaimana tersangka pelaku APT29 memperoleh eksploitasi ini, penelitian kami menggarisbawahi sejauh mana eksploitasi yang pertama kali dikembangkan oleh industri pengawasan komersial disebarkan ke pelaku ancaman berbahaya,” tulis para peneliti TAG. “Selain itu, serangan watering hole tetap menjadi ancaman di mana eksploitasi canggih dapat digunakan untuk menargetkan mereka yang mengunjungi situs secara teratur, termasuk di perangkat seluler. Watering hole masih dapat menjadi jalan yang efektif untuk … menargetkan populasi secara massal yang mungkin masih menjalankan browser yang belum ditambal.”
Ada kemungkinan bahwa para peretas membeli dan mengadaptasi eksploitasi spyware atau mencurinya atau memperolehnya melalui kebocoran. Ada kemungkinan juga bahwa para peretas terinspirasi oleh eksploitasi komersial dan merekayasa ulang dengan memeriksa perangkat korban yang terinfeksi.
Antara November 2023 dan Februari 2024, para peretas menggunakan eksploitasi iOS dan Safari yang secara teknis identik dengan penawaran yang pertama kali diperkenalkan Intellexa beberapa bulan sebelumnya sebagai zero-day yang belum ditambal pada September 2023. Pada Juli 2024, para peretas juga menggunakan eksploitasi Chrome yang diadaptasi dari alat NSO Group yang pertama kali muncul pada Mei 2024. Alat peretasan terakhir ini digunakan dalam kombinasi dengan eksploitasi yang sangat mirip dengan yang diperkenalkan Intellexa pada September 2021.
Ketika penyerang mengeksploitasi kerentanan yang telah ditambal, aktivitas tersebut dikenal sebagai “eksploitasi n-hari”, karena kerentanan tersebut masih ada dan dapat disalahgunakan pada perangkat yang belum ditambal seiring berjalannya waktu. Peretas Rusia yang diduga menggabungkan perangkat lunak mata-mata komersial yang berdekatan, tetapi menyusun keseluruhan kampanye mereka—termasuk pengiriman dan aktivitas malware pada perangkat yang disusupi—secara berbeda dari yang dilakukan oleh pelanggan perangkat lunak mata-mata komersial pada umumnya. Hal ini menunjukkan tingkat kefasihan dan kemahiran teknis yang menjadi ciri khas kelompok peretas yang mapan dan didukung negara dengan sumber daya yang memadai.
“Dalam setiap iterasi kampanye watering hole, para penyerang menggunakan eksploitasi yang identik atau sangat mirip dengan eksploitasi dari [commercial surveillance vendors]Intellexa dan NSO Group,” tulis TAG. “Kami tidak tahu bagaimana para penyerang memperoleh eksploitasi ini. Yang jelas adalah bahwa pelaku APT menggunakan eksploitasi n-hari yang awalnya digunakan sebagai 0-hari oleh CSV.”
