Dalam beberapa tahun terakhir, produsen spyware komersial elit seperti Intellexa dan NSO Group telah mengembangkan serangkaian alat hacking yang kuat yang mengeksploitasi kerentanan perangkat lunak “zero-day” yang langka dan belum diperbaiki untuk mengompromikan perangkat korban. Dan semakin banyak, pemerintah di seluruh dunia telah muncul sebagai pelanggan utama untuk alat-alat tersebut, mengompromikan ponsel pintar pemimpin oposisi, jurnalis, aktivis, pengacara, dan lainnya. Pada hari Kamis, meskipun, Google Threat Analysis Group sedang mempublikasikan temuan tentang serangkaian kampanye hacking terbaru—yang tampaknya dilakukan oleh kelompok Cozy Bear APT29 yang terkenal dari Rusia—yang menggabungkan eksploitasi yang sangat mirip dengan yang dikembangkan oleh Intellexa dan NSO Group ke dalam aktivitas spionase yang sedang berlangsung.
Antara November 2023 dan Juli 2024, para penyerang mengompromikan situs web pemerintah Mongolia dan menggunakan akses tersebut untuk melakukan serangan “watering hole”, di mana siapa pun dengan perangkat rentan yang memuat situs web yang dikompromikan akan diretas. Para penyerang menyiapkan infrastruktur jahat untuk menggunakan eksploitasi yang “identik atau sangat mirip dengan eksploitasi yang sebelumnya digunakan oleh produsen surveilans komersial Intellexa dan NSO Group,” tulis TAG Google pada hari Kamis. Para peneliti mengatakan mereka “menilai dengan keyakinan sedang” bahwa kampanye-kampanye ini dilakukan oleh APT29.
Alat-alat hacking yang mirip spyware ini mengeksploitasi kerentanan dalam iOS Apple dan Android Google yang sebagian besar sudah diperbaiki. Awalnya, mereka diterapkan oleh produsen spyware sebagai eksploitasi nol-hari yang belum diperbaiki, tetapi dalam iterasi ini, para hacker Rusia yang diduga menggunakan alat-alat tersebut untuk menargetkan perangkat yang belum diperbarui dengan perbaikan tersebut.
“Meskipun kami tidak yakin bagaimana aktor APT29 yang diduga memperoleh eksploitasi ini, penelitian kami menekankan sejauh mana eksploitasi yang pertama kali dikembangkan oleh industri surveilans komersial menyebar ke aktor ancaman berbahaya,” tulis para peneliti TAG. “Selain itu, serangan watering hole tetap menjadi ancaman di mana eksploitasi canggih dapat digunakan untuk menargetkan mereka yang mengunjungi situs secara teratur, termasuk pada perangkat seluler. Watering hole masih bisa menjadi jalur efektif untuk … menargetkan secara massal populasi yang mungkin masih menggunakan browser yang belum diperbarui.”
Mungkin para hacker membeli dan mengadaptasi eksploitasi spyware atau bahwa mereka mencurinya atau memperolehnya melalui kebocoran. Juga mungkin bahwa para hacker terinspirasi oleh eksploitasi komersial dan melakukan reverse engineering dengan memeriksa perangkat korban yang terinfeksi.
“NSO tidak menjual produknya ke Rusia,” kata Gil Lainer, wakil presiden komunikasi global NSO Group, kepada WIRED dalam sebuah pernyataan. “Teknologi kami hanya dijual kepada agensi intelijen dan penegak hukum AS & Israel yang sudah disaring. Sistem dan teknologi kami sangat aman dan terus dipantau untuk mendeteksi dan menetralkan ancaman eksternal.”
Antara November 2023 dan Februari 2024, para hacker menggunakan eksploitasi iOS dan Safari yang secara teknis identik dengan penawaran yang pertama kali diperkenalkan oleh Intellexa beberapa bulan sebelumnya sebagai nol-hari yang belum diperbaiki pada September 2023. Pada Juli 2024, para hacker juga menggunakan eksploitasi Chrome yang diadaptasi dari alat NSO Group yang pertama kali muncul pada Mei 2024. Alat hacking terakhir ini digunakan bersamaan dengan sebuah eksploitasi yang memiliki kesamaan kuat dengan yang Intellexa pertama kali diperkenalkan pada September 2021.
Ketika penyerang mengeksploitasi kerentanan yang sudah diperbaiki, aktivitas tersebut dikenal sebagai “eksploitasi n-hari,” karena kerentanan tersebut masih ada dan bisa disalahgunakan di perangkat yang belum diperbaiki seiring berjalannya waktu. Para hacker Rusia yang diduga menggabungkan alat-alat spyware komersial tersebut, tetapi membangun kampanye mereka secara keseluruhan—termasuk pengiriman malware dan aktivitas pada perangkat yang terompas—dengan cara yang berbeda dari pelanggan spyware komersial biasa. Hal ini menunjukkan tingkat kefasihan dan kecakapan teknis yang khas dari kelompok peretasan yang didukung negara yang mapan dan berkekuatan besar.
“Dalam setiap iterasi kampanye watering hole, para penyerang menggunakan eksploitasi yang identik atau sangat mirip dengan eksploitasi dari [produsen surveilans komersial], Intellexa dan NSO Group,” tulis TAG. “Kami tidak tahu bagaimana para penyerang memperoleh eksploitasi ini. Yang jelas adalah bahwa aktor APT menggunakan eksploitasi n-hari yang awalnya digunakan sebagai 0-hari oleh CSV.”