Exploits de software espía permiten una nueva cadena de ataques de tipo watering hole
En los últimos años, algunos proveedores de software espía comerciales de élite han desarrollado una serie de herramientas potentes de hacking, las cuales explotan vulnerabilidades de software de día cero poco comunes y sin parches. Esto con el objetivo de comprometer los dispositivos de las víctimas.
Es cada vez más común que los gobiernos de todo el mundo sean los principales clientes de estas herramientas, comprometido que smartphones de líderes de oposición, periodistas, activistas, entre otros. No obstante, hace algunos días el Grupo de Análisis de Amenazas de Google ha publicado algunos hallazgos acerca de una serie de campañas de hacking recientes, las cuales han sido llevadas a cabo por una notoria banda rusa llamada APT29 Cozy Bear.
Esta banda incorpora exploits muy similares a los que están siendo desarrollados por las compañías desarrolladoras de software espía en las actividades de espionaje que siguen en curso.
En un período que abarca noviembre de 2023 y julio de 2024, los actores maliciosos comprometieron los sitios web de gobiernos como el de Mongolia y emplearon el acceso para realizar ataques de abrevadero o “watering hole”, en los que cualquier persona con un dispositivo vulnerable que cargue un sitio web comprometido es hackeado.
Los atacantes configuraron la infraestructura maliciosa para utilizar exploits que eran idénticos o muy similares a aquellos empleados anteriormente por los proveedores de vigilancia comercial, según lo publicado por el equipo de Google hace unos días. Además, los expertos manifiestan que evalúan con moderada confianza que las campañas fueron llevadas a cabo por la pandilla rusa.
Estas herramientas de hacking parecidas a spyware han explotado vulnerabilidades en los sistemas operativos iOS de Apple y Android de Google, las cuales habían sido parcheadas en su gran medida. Inicialmente, han sido implementadas por los proveedores de spyware como exploit de día cero sin parches, pero en esta iteración, los hackers maliciosos rusos las estaban utilizando para atacar dispositivos que no habían sido actualizados con estas correcciones.
Si bien no están seguros de cómo los presuntos actores maliciosos de APT29 se hicieron con estos exploits, la investigación ha destacado hasta qué punto estos exploits desarrollados inicialmente por la industria de vigilancia comercial, pueden propagarse actores de amenazas peligrosas.
Del mismo modo, los ataques de watering hole siguen siendo una amenaza en la que se pueden utilizar diversas herramientas sofisticadas para atacar a quienes visitan sitios con regularidad, incluso en dispositivos móviles. Este tipo de ataques pueden ser una vía eficaz para atacar masivamente una población que aún podría estar utilizando un navegador sin ningún tipo de parcheado.
Los expertos analizan que los ciberdelincuentes pudieron haber comprado y adaptado los exploits de software espía o que los hayan robado mediante una filtración de datos. Igualmente es posible que los atacantes se inspiraron en exploits comerciales y los diseñaron a la inversa, Examinando los dispositivos de las víctimas infectadas.
A partir de aquí, los proveedores de software espía manifestaron contundentemente que no venden sus productos a países como Rusia. Según su información sus políticas muestran que las tecnologías se venden exclusivamente a agencias de inteligencia y aplicación de la ley aliadas de Estados Unidos e Israel, además de que señalan que sus sistemas y tecnologías son seguros y están monitoreados constantemente para detectar y neutralizar amenazas externas.
