政府支持的黑客与商业间谍软件供应商共享漏洞

关键要点

Google 的安全团队发现政府支持的黑客与商业间谍软件供应商共享漏洞。一项针对蒙古多个政府组织的攻击由俄罗斯国家支持的APT发起。这些攻击使用了与知名商业间谍软件供应商相似的漏洞。政府相关的组织与商业供应商之间的合作令人担忧。

最近，由 Google 安全团队的研究人员报告，国家支持的黑客组织与商业间谍软件供应商似乎在互相共享漏洞。 根据他们的发现，俄罗斯的国家支持高级持续威胁APT组织针对蒙古政府的多个机构进行了一次网络攻击，而该攻击使用了一组明显熟悉的已知漏洞。

经过一些审核，团队能够将这些漏洞与两家突出的商业间谍软件供应商使用的漏洞联系起来。Google 的研究员克莱门特莱辛Clement Lecigne写道：

“这些攻击活动提供了已发布补丁的nday漏洞，但仍然能够对未打补丁的设备有效。我们以中等信心评估这些活动与俄罗斯政府支持的APT29有关。”

莱辛还补充道：

“在每一轮的水坑攻击中，攻击者使用的漏洞与商业监控供应商CSVsIntellexa和NSO Group先前使用的漏洞完全相同或极其相似。”

海鸥加速器v6.5.0

根据 Google 的说法，这一行动是典型的“水坑攻击”模式，通过在特定网站上植入攻击代码，并通过钓鱼邮件诱导用户访问该网站。一旦用户受到攻击，目标将被投放多种特洛伊木马，最终试图窃取信息并窃听通信。

政府攻击商业间谍软件APT29NSO Group国家支持Intellexa

尽管针对蒙古的攻击对美国的大多数网络管理员和网络防御者来说可能影响不大，但政府相关的组织与商业间谍软件组织使用相同的漏洞代码这一事实应该引起关注。尽管如 NSO Group 和 Intellexa 等商业供应商声称只向某些政府和执法机构销售其产品以进行合法监控，但这些产品已与被制裁的政府关联，且受到人权和隐私倡导者的批评，认为它们是进行非法监控和压制的工具。

Google 还指出，目前尚不清楚这些漏洞是否是直接由供应商共享，或者俄罗斯APT是否只是通过其他途径获得并重用这些漏洞代码。莱辛解释道：

“虽然我们不确定APT29行为体是如何获取这些漏洞的，但我们的研究强调了由商业监控行业首次开发的漏洞传播到危险的威胁行为者的程度。”

“此外，水坑攻击仍然是一种威胁，复杂的漏洞可以用于针对那些定期访问网站的人，包括移动设备用户。”