グーグルは、ロシア政府のハッカーが、スパイウェア製造業者のインテレクサとNSOグループが以前に作成したものと「同一、もしくは著しく類似した」エクスプロイトを使用している証拠があると発表した。
グーグルは木曜日のブログ投稿で、ロシア政府がどのようにしてこの脆弱性を入手したかは不明だが、これはスパイウェア製造業者が開発した脆弱性がどのようにして「危険な脅威の担い手」の手に渡る可能性があるかを示す一例だと述べた。
Googleによると、今回の攻撃の標的はAPT29というハッカー集団で、ロシア対外情報局(SVR)に所属すると広く考えられている。APT29は非常に有能なハッカー集団であり、MicrosoftやSolarWindsといったIT大手や外国政府を含む幅広い標的に対し、スパイ活動やデータ窃盗を目的とした長期にわたる執拗なキャンペーンを展開していることで知られている。
グーグルは、2023年11月から2024年7月の間にモンゴル政府のウェブサイトに埋め込まれた隠されたエクスプロイトコードを発見したと発表した。この期間中にiPhoneやAndroid端末を使ってこれらのサイトにアクセスした人は、「ウォーターホール」攻撃と呼ばれる攻撃で携帯電話がハッキングされ、パスワードを含むデータが盗まれた可能性がある。
これらのエクスプロイトは、iPhoneのSafariブラウザとAndroid版Google Chromeの脆弱性を悪用していましたが、ロシアによる攻撃とみられる攻撃の時点では既に修正されていました。それでもなお、これらのエクスプロイトは、パッチが適用されていないデバイスへの侵入に有効である可能性があります。
ブログ記事によると、iPhoneとiPadを標的としたこのエクスプロイトは、モンゴル政府の個人アカウントと業務用アカウントをホストする様々なオンラインメールプロバイダーのSafariに保存されているユーザーアカウントのCookieを盗むように設計されていた。攻撃者は盗んだCookieを使って、これらの政府アカウントにアクセスする可能性がある。Googleによると、Androidデバイスを標的としたこの攻撃では、Chromeブラウザに保存されているユーザーCookieを盗むために、2つの別々のエクスプロイトが併用されていたという。
ブログ記事を執筆したGoogleのセキュリティ研究者、クレメント・ルシーニュ氏は、TechCrunchに対し、ロシア政府のハッカーが今回の攻撃で誰を標的にしていたのかは定かではないと語った。「しかし、エクスプロイトがホストされていた場所と、これらのサイトを通常誰が訪問するかを考えると、モンゴル政府職員が標的だった可能性が高いと考えています」とルシーニュ氏は述べた。
政府支援のサイバー脅威を調査するセキュリティ研究部門、グーグルの脅威分析グループに勤務するルシーニュ氏は、研究者らが以前、2021年の以前の攻撃でAPT29が使用したのと同じクッキー窃盗コードを観察していたため、グーグルはコードの再利用をロシアと関連付けていると述べた。
重要な疑問が残る。ロシア政府のハッカーはそもそもどのようにしてエクスプロイトコードを入手したのだろうか?Googleによると、モンゴル政府を標的とした水飲み場型攻撃キャンペーンの2つのバージョンでは、IntellexaとNSO Groupのエクスプロイトに類似、あるいは一致するコードが使用されていたという。これら2社は、パッチが完全に適用されたiPhoneやAndroidスマートフォンに侵入可能なスパイウェアを配布するエクスプロイトを開発していることで知られている。
Googleは、Android版Chromeユーザーを標的としたウォーターホール型攻撃で使用されたエクスプロイトコードは、NSO Groupが以前に開発したエクスプロイトコードと「非常に類似したトリガー」を共有していると述べた。iPhoneとiPadを標的としたエクスプロイトコードの場合、Googleはコードが「Intellexaが使用したエクスプロイトコードと全く同じトリガー」を使用していたと述べ、これはエクスプロイトの作成者または提供者が「同一」であることを強く示唆していると述べた。
TechCrunchからエクスプロイトコードの再利用について質問されると、ルシーニ氏は「攻撃者がエクスプロイトを再作成したとは考えていない」と答え、ロシアのハッカーが独自にエクスプロイトを発見した可能性を否定した。
「同じエクスプロイトを入手した方法は複数考えられます。パッチ適用後に購入したか、別の顧客からエクスプロイトのコピーを盗んだかのどちらかです」とルシーニュ氏は述べた。
NSOグループは、本記事掲載前にTechCrunchの問い合わせに回答しなかった。本記事掲載後に発表された声明の中で、NSOの広報担当者であるギル・ライナー氏は、「NSOはロシアに製品を販売していません。当社の技術は、審査済みの米国およびイスラエル同盟国の情報機関および法執行機関にのみ販売されています。当社のシステムと技術は高度なセキュリティを備えており、外部からの脅威を検知・無効化するために継続的に監視されています」と述べた。
TechCrunchはワシントンD.C.のロシア大使館とニューヨークのモンゴル国連代表部にコメントを求めたが、記事執筆時点で返答はなかった。Intellexaにもコメントを求めたが、連絡が取れなかった。Appleの広報担当者シェーン・バウアー氏にもコメントを求めたが、回答は得られなかった。
Googleは、悪意のあるサイバー攻撃を防ぐため、ユーザーは「迅速にパッチを適用」し、ソフトウェアを最新の状態に保つべきだと述べた。ルシーニュ氏によると、高セキュリティ機能のロックダウンモードをオンにしていたiPhoneおよびiPadのユーザーは、脆弱なソフトウェアバージョンを使用していても影響を受けなかったという。
NSO からの公開後の応答を更新しました。
ザック・ウィテカーはTechCrunchのセキュリティエディターです。彼はまた、毎週のサイバーセキュリティニュースレター「今週のセキュリティ」の執筆者でもあります。
Signalのzackwhittaker.1337宛ての暗号化メッセージで連絡を取ることができます。また、メールで連絡を取るか、確認したい場合は[email protected]までご連絡ください。
バイオを見る
