اختر منطقتك 
حالة الطقس 
في السنوات الأخيرة، طورت شركات برمجيات التجسس التجارية النخبوية مثل Intellexa و NSO Group مجموعة من أدوات القرصنة القوية التي تستغل نقاط الضعف النادرة وغير المصححة في البرامج لاختراق أجهزة الضحايا. وعلى نحو متزايد، برزت الحكومات في جميع أنحاء العالم كعملاء رئيسيين لهذه الأدوات، مما أدى إلى اختراق الهواتف الذكية لقادة المعارضة والصحفيين والناشطين والمحامين وغيرهم. ومع ذلك، نشرت مجموعة تحليل التهديدات التابعة لشركة Google يوم الخميس نتائج حول سلسلة من حملات القرصنة الأخيرة – التي يبدو أنها نفذتها عصابة APT29 Cozy Bear الروسية سيئة السمعة – والتي تتضمن ثغرات مشابهة جدًا لتلك التي طورتها Intellexa و NSO Group في نشاط التجسس المستمر.
في الفترة ما بين نوفمبر 2023 ويوليو 2024، اخترق المهاجمون مواقع الحكومة المنغولية واستخدموا الوصول إليها لتنفيذ هجمات “watering hole”، حيث يتعرض أي شخص لديه جهاز ضعيف يقوم بتحميل موقع ويب مخترق للاختراق. وكتبت مجموعة TAG التابعة لشركة Google يوم الخميس أن المهاجمين قاموا بإعداد البنية التحتية الضارة لاستخدام ثغرات “كانت متطابقة أو مشابهة بشكل لافت للنظر للثغرات التي استخدمتها سابقًا شركات المراقبة التجارية Intellexa و NSO Group”. يقول الباحثون إنهم “يقيمون بثقة معتدلة” أن الحملات نفذتها APT29.
استغلت أدوات القرصنة التي تشبه برامج التجسس نقاط ضعف في نظامي التشغيل iOS من إنتاج شركة Apple وAndroid من إنتاج شركة Google والتي تم إصلاحها بالفعل إلى حد كبير. في البداية، تم نشرها من قبل بائعي برامج التجسس باعتبارها ثغرات غير مُعالجة، ولكن في هذه النسخة، استخدمها القراصنة الروس المشتبه بهم لاستهداف الأجهزة التي لم يتم تحديثها بهذه الإصلاحات.
وكتب باحثو TAG: “بينما لا ندري كيف حصل مرتكبو هجمات APT29 المشتبه بهم على هذه الثغرات، فإن بحثنا يسلط الضوء على مدى انتشار الثغرات التي طورتها صناعة المراقبة التجارية لأول مرة إلى جهات تهديد خطيرة”. “وعلاوة على ذلك، تظل هجمات حُفر المياه تهديدًا حيث يمكن استخدام الثغرات المتطورة لاستهداف أولئك الذين يزورون المواقع بانتظام، بما في ذلك على الأجهزة المحمولة. لا تزال حُفر المياه يمكن أن تكون وسيلة فعالة لاستهداف مجموعة سكانية قد لا تزال تستخدم متصفحات غير مُرقعة”.
من المحتمل أن يكون المتسللون قد اشتروا ثغرات برامج التجسس وقاموا بتعديلها أو سرقوها أو حصلوا عليها من خلال تسريب. ومن المحتمل أيضًا أن يكون المتسللون قد استوحوا أفكارهم من ثغرات تجارية وقاموا بهندسة عكسية لها من خلال فحص أجهزة الضحايا المصابة.
بين نوفمبر 2023 وفبراير 2024، استخدم المتسللون ثغرة أمنية في نظامي التشغيل iOS وSafari كانت متطابقة تقنيًا مع عرض قدمته Intellexa لأول مرة قبل شهرين كثغرة أمنية غير مُرقعة في سبتمبر 2023. في يوليو 2024، استخدم المتسللون أيضًا ثغرة أمنية في Chrome مقتبسة من أداة NSO Group ظهرت لأول مرة في مايو 2024. تم استخدام أداة الاختراق الأخيرة هذه جنبًا إلى جنب مع ثغرة أمنية بها أوجه تشابه قوية مع تلك التي قدمتها Intellexa في سبتمبر 2021.
عندما يستغل المهاجمون نقاط الضعف التي تم إصلاحها بالفعل، يُعرف النشاط باسم “استغلال n-day”، لأن الثغرة لا تزال موجودة ويمكن إساءة استخدامها في الأجهزة غير المصححة بمرور الوقت. قام المتسللون الروس المشتبه بهم بدمج أدوات برامج التجسس التجارية المجاورة، لكنهم بنوا حملاتهم الإجمالية – بما في ذلك تسليم البرامج الضارة والنشاط على الأجهزة المخترقة – بشكل مختلف عن عميل برامج التجسس التجارية النموذجي. يشير هذا إلى مستوى من الطلاقة والكفاءة الفنية المميزة لمجموعة قرصنة مدعومة من الدولة ومستقرة ومجهزة جيدًا بالموارد.
“في كل تكرار لحملات watering hole، استخدم المهاجمون ثغرات متطابقة أو مشابهة بشكل لافت للنظر لثغرات من (بائعي المراقبة التجارية)، Intellexa و NSO Group،” كتب TAG. “نحن لا نعرف كيف حصل المهاجمون على هذه الثغرات. من الواضح أن الجهات الفاعلة في APT تستخدم ثغرات n-day التي تم استخدامها في الأصل كـ 0-days بواسطة CSVs.”
