Російські урядові хакери атакували сайти уряду Монголії — вони використовували експлойти, щоб отримати доступ до телефонів відвідувачів державних вебпорталів. Шкідливий код був активний із листопада 2023 року до липня 2024-го, йдеться в розслідуванні Google.
Якщо хтось відвідував ці сайти з iPhone або телефонів на Android, їхні смартфони могли бути зламані, а дані з них — викрадені. Націлений на iPhone та iPad експлойт викрадав cookie користувачів, збережені у Safari. Для Android-пристроїв використовували два різні експлойти, щоб викрасти cookie у Chrome. Ці файли можна було використати, наприклад, для доступу в електронну пошту.
У Google також дослідили походження цих шкідливих програм. Стверджується, що вони ідентичні або дуже схожі на ті, що розробляють виробники шпигунського ПЗ Intellexa і NSO Group. Як вони могли потрапити до рук хакерів, у компанії не знають.
До атаки на сайти Монголії причетне російське хакерське угрупування APT29, яке пов’язують зі Службою зовнішньої розвідки росії. Раніше вони робили тривалі та масові кібератаки на західних техногігантів, зокрема Microsoft.
Точно не зрозуміло, на кого були розраховані ці атаки. Але враховуючи, що експлойти розмістили на сайтах саме цієї країни, ймовірною ціллю могли бути монгольські урядовці, які найчастіше їх відвідують — про це виданню TechCrunch розповів дослідник безпеки Google, а також автор розслідування Клеман Лесіньє.
Дослідник пов’язує атаку з росією, адже раніше вже спостерігали той самий код для викрадення файлів cookie, який використовувало угрупування APT29 під час попередньої кампанії у 2021 році.
Google закликав користувачів «швидко встановлювати патчі» та оновлювати програмне забезпечення, щоб запобігти кібератакам. За словами Лесіньє, користувачі iPhone та iPad з увімкненою функцією підвищеної безпеки Lockdown Mode не постраждали, навіть якщо використовували вразливу версію ПЗ.
