\nGoogle는 러시아 정부 해커들이 이전에 Intellexa 및 NSO Group가 만든 악용과 \"동일하거나 현저히 유사한\" 악용을 사용하고 있다는 증거가 있다고 말했습니다.
\n목요일 블로그 글에서 Google는 러시아 정부가 어떻게 해당 악용을 획득했는지 확신하지 않지만, 스파이웨어 제작업체가 개발한 악용이 '위험한 위협 요소'의 손에 넘어갈 수 있는 예라고 말했습니다.
\n이 경우 Google는 위협 요소가 APT29인데, 이는 러시아 외교정보국 또는 SVR에 널리 속한 해킹 그룹입니다. APT29는 테크 기업인 마이크로소프트와 솔라윈즈뿐만 아니라 외국 정부를 포함한 다양한 타깃을 향해 이랍지와 데이터 도용을 목적으로 하는 장기적인 캠페인으로 유명한 고도로 능력있는 해킹 그룹입니다.
\nGoogle는 2023년 11월부터 2024년 7월까지 몽골 정부 웹사이트에 숨겨진 악용 코드를 발견했다고 말했습니다. 이 기간 동안 아이폰이나 안드로이드 장치를 사용해 이 사이트를 방문한 사람은 '워터링 홀' 공격으로 알려진 것으로 개인 정보를 탈취당하고 비밀번호를 비롯한 데이터를 해킹당할 수 있었습니다.
\n해당 악용은 해당 일정 때 아이폰의 Safari 브라우저와 안드로이드의 Google 크롬의 취약점을 이용했지만 이 때 이미 수정되었습니다. 그럼에도 불구하고, 해당 악용은 여전히 패치가 되지 않은 장치를 침해하는 데 효과적일 수 있습니다.
\n블로그 글에 따르면, 아이폰과 아이패드를 대상으로 한 악용은 특정 온라인 이메일 공급업체에서 저장된 사용자 계정 쿠키를 도난하는 데 초점을 맞춰서 Mongolian 정부의 개인 및 업무 계정을 보유한 온라인 이메일 공급업체의 범위를 포함합니다. 공격자들은 이 도난당한 쿠키를 사용하여 해당 정부 계정에 액세스할 수 있습니다. Google는 안드로이드 장치를 대상으로 한 캠페인은 Google 크롬 브라우저에 저장된 사용자 쿠키를 도난하기 위해 서로 다른 악용을 두 개 함께 사용했다고 말했습니다.
\n블로그 글의 작성자인 Google 보안 연구원인 Clement Lecigne은 기술을 제안하여 러시아 정부 해커들이 이 캠페인에서 누구를 목표로 했는지 확실하지 않다고 말했습니다. 그는 \"그러나 악용이 호스팅되고 일반적으로 이 사이트를 방문하는 사람들로부터 추측되는 위치 기반으로 판단하면, Mongolian 정부 직원이 주요 대상일 것으로 생각됩니다\"라고 말했습니다.
\n제작자는 LR 사용으로 악용 코드는 이전에 APT29가 2021년 이전 캠페인 중에 사용한 동일한 쿠키 도용 코드를 관찰했기 때문에 러시아에 재사용되었다고 Google는 말했습니다.
\n
중요한 질문이 남아 있는데, 러시아 정부 해커들은 처음부터 악용 코드를 어떻게 획득했을까요? Google는 몽골 정부를 대상으로 한 '워터링 홀' 공격 캠페인의 두 번의 반복이 Intellexa와 NSO Group에서 만든 악용에 닮거나 일치하는 코드를 사용했다고 말했습니다. 이 두 회사는 완전히 수정된 아이폰과 안드로이드 폰을 침해할 수 있는 스파이웨어를 전달할 수 있는 악용을 개발한 것으로 알려져 있습니다.
\nGoogle는 안드로이드에서 크롬 사용자를 대상으로 한 '워터링 홀' 공격에 사용된 악용 코드가 이전에 NSO Group에 의해 개발된 악용과 \"매우 유사한 트리거\"를 공유했다고 말했습니다. 아이폰 및 아이패드를 대상으로 한 악용의 경우, Google는 코드가 Intellexa가 사용한 악용과 '정확히 동일한 트리거를 사용했다'고 말했으며 이로써 악용 작성자 또는 제공자가 '동일할 것으로 강력히 시사한다.'\"
\nTechCrunch가 악용 코드 재사용에 관해 레시니에에게 물었을 때, \"해당 주체가 악용을 재생산한 것으로 생각하지 않습니다\"라고 말했습니다. 레시니에는 \"여러 가지 가능성이 있지만, 그들이 고객으로부터 악용을 구매하거나 다른 고객으로부터 악용 사본을 훔친 경우와 같이\'라고 말했습니다
\nTechCrunch는 게시 전에 NSO Group로 문의했지만 응답이 없었습니다. 게시 후 제공 된 발언에서 NSO 대변인 Gil Lainer는 'NSO가 러시아에 제품을 판매하지 않는다. 우리의 기술은 검증 된 미국 및 이스라엘 동맹 정보 및 법 집행 기관에만 판매됩니다. 시스템과 기술은 매우 안전하며 계속해서 외부 위협을 탐지하고 중화합니다.'라고 말했습니다.
\nTechCrunch는 워싱턴 DC의 러시아 대사관과 뉴욕 유엔 상설 미션에 문의를 했지만 발표 시간까지 응답을 받지 못했습니다. Intellexa는 의견을 얻을 수 없었습니다. Apple 대변인 Shane Bauer는 의견 요청에 대해 응답하지 않았습니다.
\nGoogle는 사용자들이 '패치를 신속히 적용'하고 소프트웨어를 최신 상태로 유지하여 악성 사이버 공격을 방지하는 데 도움이 될 것을 권고했습니다. 레시니에에게 따르면 Lockdown Mode를 실행하고있는 아이폰 및 아이패드 사용자는 취약한 소프트웨어 버전을 실행 중일 때에도 영향을받지 않았다고 합니다.
\nNSO로부터 게시 후 응답이 업데이트되었습니다.
