Google aconseja urgentemente a los usuarios que actualicen su software tras la revelación de un ciberataque de nueve meses de duración, supuestamente realizado por espías rusos.
Esta campaña de espionaje se valió de un programa espía comercial desarrollado por Intellexa, una empresa griega sancionada por el gobierno estadounidense por el uso indebido de herramientas de vigilancia.
El programa espía detectado afectó a víctimas desde Irlanda hasta Vietnam e incluso Estados Unidos.
Atacantes atrajeron a visitantes desprevenidos para activar un malware de espionaje
La clave del enfoque de los atacantes consistía en convertir los sitios web objetivo en trampas "abrevadero", atrayendo a visitantes desprevenidos, probablemente funcionarios o diplomáticos, para que activaran el malware de espionaje.
En cada iteración de las campañas de watering hole, los atacantes utilizaron exploits sorprendentemente similares a los de proveedores comerciales de vigilancia como Intellexa y NSO Group.
El Grupo de Análisis de Amenazas (TAG) de Google relacionó esta operación cibernética con moderada confianza con el Servicio de Inteligencia Exterior de Rusia (SVR).
Google declaró que las unidades afectadas por pirateo fueron parcheadas
Según Google, las vulnerabilidades explotadas en esta operación de pirateo fueron parcheadas para los usuarios con actualizaciones críticas de Apple iOS, Safari y Google Chrome.
Clément Lecigne, ingeniero de seguridad de Google, señaló: "Notificamos las campañas tanto a Apple como a nuestros socios de Android y Google Chrome en el momento de su descubrimiento".
En su riguroso informe, Google describió cómo los fallos en iOS y Safari de Apple, parcheados antes de septiembre de 2023, expusieron a los usuarios de iPhone y iPad a estas amenazas.
Propietarios de teléfono Android y usuarios de Google solucionaron sus vulnerabilidades
Los propietarios de teléfonos Android y los usuarios de Google Chrome vieron solucionadas sus vulnerabilidades en mayo de 2024 con el lanzamiento de la versión 124.0.6367.201/.202 de Chrome para Windows y macOS, y la versión 124.0.6367.201 para Linux.
Conocida a menudo como Cozy Bear o Grupo 100, APT29 es un conjunto de herramientas de piratería informática en evolución. Las agencias de inteligencia occidentales sospechan que APT29 opera en nombre del SVR ruso.
El informe de TAG identificó cargas útiles de APT29 ocultas en sitios web del gobierno de Mongolia para demostrar los motivos de espionaje que se esconden tras los ataques.
