O Grupo de Análise a Ameaças (TAG no acrónimo em inglês) da Google afirma que piratas informáticos com ligações ao governo russo estão a usar ferramentas “idênticas ou extremamente parecidas” com as que foram criadas pelas empresas NSO e Intellexa. Os investigadores não sabem como o governo russo teve conhecimento das falhas, mas deixam o alerta sobre o risco de haver empresas privadas de spyware cujo material pode acabar nas mãos de ‘atores maliciosos’.
Numa publicação no seu blogue oficial, a Google revela que o grupo de cibercriminosos APT29, conhecido por ser extremamente hábil e ter conduzido longas campanhas contra gigantes como Microsoft e SolarWinds, mas também contra governos, usou código malicioso em páginas do governo da Mongólia entre novembro de 2023 e julho de 2024. Durante esse tempo, quem visitasse estas páginas através de um telemóvel poderia ver todos os seus dados roubados, incluindo palavras-chave.
Os hackers, que se suspeita terem ligações à Rússia, exploraram vulnerabilidades do Chrome e do Safari (que já estavam sanadas nesta altura), mas que ainda representavam um risco para dispositivos não atualizados. O ataque estava focado em roubar cookies de conta armazenados no navegador especificamente para uma série de fornecedores de correio eletrónico, tentando alcançar as contas de e-mail pessoal e profissional dos funcionários do governo da Mongólia.
Clement Lecigne, que assina a publicação da Google, revela que os funcionários governamentais deviam ser o alvo destes piratas e que os hackers tiveram uma iniciativa de roubo de cookies semelhante noutra campanha em 2021.
O investigador, que trabalha no Threat Analysis Group da Google, explica que os ataques usam os mesmos gatilhos que eram explorados pelos programas de spyware criados pela NSO e pela Intellexa. “Não acreditamos que os atores tenham recriado a exploração”, afastando a ideia de que a vulnerabilidade tenha sido descoberta independentemente por investigadores russos. “Há múltiplas possibilidades sobre como podem ter encontrado a mesma falha, incluindo terem-na comprado depois de ter sido sanada ou roubado uma cópia de outro cliente”, cita o TechCrunch.
Fonte da NSO, em resposta à notícia, sublinhou: “Não vendemos produtos para a Rússia. As nossas tecnologias são vendidas exclusivamente para agências e serviços de informação aprovados pelos EUA e Israel. Os nossos sistemas e tecnologias são bastante seguros e continuamente monitorizados para detetar e neutralizar ameaças externas”.
Para os utilizadores finais, as recomendações são as habituais: não clicar em links de fontes desconhecidas ou com aspeto suspeito, manter o software atualizado e utilizar passwords fortes e únicas para cada serviço online.
