Kumpulan Analisis Ancaman ( TAG ) Google telah mendedahkan satu siri serangan siber canggih yang dipercayai dilakukan oleh APT29 , kumpulan penggodam yang mempunyai hubungan dengan perisikan Rusia. Serangan tersebut menggunakan eksploit yang sangat mirip dengan yang dibangunkan oleh vendor perisian pengintip kontroversi NSO Group dan Intellexa .
Figura bayangan yang tenggelam dalam dunia ancaman siber, mencerminkan kecanggihan kumpulan penggodam moden yang dikaitkan dengan serangan siber tajaan negara |
Taktik Lubuk Air Mensasarkan Laman Web Kerajaan Mongolia
Antara November 2023 dan Julai 2024, penggodam telah menceroboh laman web kerajaan Mongolia untuk melakukan serangan lubuk air. Teknik ini melibatkan jangkitan laman web sah yang sering dilawati oleh kumpulan sasaran tertentu, berpotensi menjejaskan mana-mana peranti yang terdedah yang melawat laman tersebut.
Eksploit Perisian Pengintip Komersial Digunakan Semula
Penyerang menggunakan eksploit yang sama atau sangat mirip dengan yang sebelumnya digunakan oleh NSO Group dan Intellexa :
- Eksploit iOS / Safari yang sepadan dengan sifar-hari Intellexa pada September 2023
- Eksploit Chrome yang diadaptasi daripada alat NSO Group dari Mei 2024
- Satu lagi eksploit yang menyerupai tawaran Intellexa pada September 2021
Walaupun eksploit ini mensasarkan kelemahan yang sebahagian besarnya telah ditampal, ia masih berkesan terhadap peranti yang belum dikemas kini.
Implikasi terhadap Landskap Keselamatan Siber
Kempen ini menyoroti beberapa trend yang membimbangkan:
- Penyebaran alat penggodam yang berkuasa dari vendor perisian pengintip komersial kepada pelaku ancaman yang disokong negara
- Keberkesanan berterusan serangan lubuk air, terutamanya terhadap peranti mudah alih
- Kepentingan penampalan segera dan kemas kini perisian
Penyelidik Google menyatakan bahawa tidak jelas bagaimana APT29 memperoleh eksploit ini, mencadangkan kemungkinan termasuk pembelian, kecurian, atau kejuruteraan terbalik.
Tindak Balas Industri
NSO Group telah menafikan menjual produk kepada Rusia, menyatakan teknologi mereka dijual secara eksklusif kepada agensi perisikan dan penguatkuasaan undang-undang yang disahkan oleh AS & sekutu Israel.
Insiden ini menggariskan interaksi kompleks antara pembangun perisian pengintip komersial, kumpulan penggodam yang disokong negara, dan ekosistem keselamatan siber global. Ia berfungsi sebagai peringatan keras tentang keperluan untuk amalan keselamatan yang kukuh dan kemas kini perisian yang tepat pada masanya di semua sektor.