Le groupe de piratage APT29 parrainé par l’État russe a été observé en train d’utiliser les mêmes exploits iOS et Android créés par des fournisseurs de logiciels espions commerciaux dans une série de cyberattaques entre novembre 2023 et juillet 2024.
L’activité a été découverte par le Groupe d’analyse des menaces (TAG) de Google, qui a déclaré que les failles n-day avaient déjà été corrigées mais restaient efficaces sur les appareils qui n’avaient pas été mis à jour.
APT29, également connu sous le nom de « Blizzard de minuit », ciblait plusieurs sites Web du gouvernement mongol et employait des tactiques de « point d’eau ».
Un point d’eau est une cyberattaque dans laquelle un site légitime est compromis par un code malveillant conçu pour fournir des charges utiles aux visiteurs qui répondent à des critères spécifiques, tels que l’architecture de l’appareil ou l’emplacement (basé sur IP).
Fait intéressant, TAG note qu’APT29 utilisait des exploits presque identiques à ceux utilisés par les fournisseurs commerciaux d’articles de surveillance comme NSO Group et Intellexa, qui ont créé et exploité les failles comme des jours zéro lorsqu’aucun correctif n’était disponible.
Chronologie des attaques
Les analystes des menaces de Google notent qu’APT29 exploite depuis longtemps les vulnérabilités zero-day et n-day.
En 2021, les cyber-opérateurs russes ont exploité CVE-2021-1879 comme un jour zéro, ciblant des représentants du gouvernement d’Europe de l’Est, tentant de fournir un cadre de vol de cookies qui a arraché des comptes LinkedIn, Gmail et Facebook.
En novembre 2023, APT29 a compromis des sites du gouvernement mongol mfa.gov [.] mn ‘ et ‘cabinet.gov [.] mn’ pour ajouter un iframe malveillant qui a livré un exploit pour CVE-2023-41993.
Il s’agit d’une faille iOS WebKit qu’APT29 a exploitée pour voler les cookies du navigateur des utilisateurs d’iPhone exécutant iOS 16.6.1 et versions antérieures.
TAG rapporte que cet exploit était exactement le même que celui utilisé par Intellexa en septembre 2023, tirant parti de CVE-2023-41993 en tant que vulnérabilité zero-day à l’époque.
En février 2024, le 29 AVRIL a compromis un autre site Web du gouvernement mongol, ‘nga.gov [.] mn,’ pour injecter une nouvelle iframe délivrant le même exploit.
En juillet 2024, APT a exploité des exploits pour CVE-2024-5274 et CVE-2024-4671, affectant Google Chrome, pour attaquer les utilisateurs d’Android visitant ‘mga.gov [.] mn’.
Le but était de voler des cookies, des mots de passe et d’autres données sensibles stockées sur le navigateur Chrome des victimes.
L’exploit utilisé pour CVE-2024-5274 est une version légèrement modifiée de ce groupe NSO utilisé pour l’exploitation zero-day en mai 2024, tandis que l’exploit pour CVE-2024-4671 présentait de nombreuses similitudes avec les exploits précédents d’Intellexa.
Auparavant connu uniquement des vendeurs de logiciels espions
On ignore comment les pirates informatiques du 29 AVRIL ont eu accès aux exploits précédemment connus uniquement de NCO Group et Intellexa. Cependant, créer indépendamment leurs propres exploits avec les informations limitées semble peu probable.
Les explications possibles incluent l’APT 29 piratant des fournisseurs de logiciels espions, recrutant ou soudoyant des initiés voyous travaillant dans ces entreprises ou maintenant une collaboration directement ou via un intermédiaire.
Une autre possibilité est leur achat auprès d’un courtier en vulnérabilités qui les a précédemment vendus à des sociétés de surveillance en tant que jours zéro.
Peu importe comment ces exploits atteignent des groupes de menaces sophistiqués soutenus par l’État, le problème clé est qu’ils le font. Cela rend encore plus critique le traitement rapide des vulnérabilités zero-day étiquetées comme « exploitation à portée limitée » dans les avis—beaucoup plus urgent que les utilisateurs ordinaires ne le réalisent peut-être.