近年來，Intellexa 和 NSO Group 等精英商業間諜軟體供應商開發了一系列強大的駭客工具，這些工具利用罕見且未修補的「零日」軟體漏洞來危害受害者設備。世界各地的政府越來越多地成為這些工具的主要客戶，損害了反對派領導人、記者、活動人士、律師和其他人的智慧型手機。不過，週四，Google威脅分析小組發布了有關近期一系列駭客活動的調查結果，這些活動似乎是由俄羅斯臭名昭著的APT29 Cozy Bear 團夥實施的，這些活動將與Intellexa 和NSO Group 開發的漏洞非常相似的漏洞融入正在進行的間諜活動。

2023 年11 月至2024 年7 月期間，攻擊者入侵了蒙古政府網站，並利用該訪問權限進行“水坑”攻擊，任何擁有易受攻擊設備的人在加載受感染網站時都會遭到黑客攻擊。谷歌的 TAG 週四寫道，攻擊者設置的惡意基礎設施使用的漏洞「與商業監控供應商 Intellexa 和 NSO Group 之前使用的漏洞相同或驚人相似」。研究人員表示，他們「以中等信心評估」這些活動是由 APT29 發起的。

這些間諜軟體式的駭客工具利用了蘋果 iOS 和谷歌 Android 的漏洞，這些漏洞基本上已經得到了修補。最初，它們是由間諜軟體供應商作為未修補的零日漏洞部署的，但在這次迭代中，可疑的俄羅斯駭客使用它們來瞄準尚未更新這些修復的設備。

TAG 研究人員寫道：“雖然我們不確定可疑的 APT29 攻擊者是如何獲取這些漏洞的，但我們的研究強調了商業監控行業最初開發的漏洞擴散到危險威脅攻擊者的程度。” 「此外，水坑攻擊仍然是一種威脅，可以利用複雜的漏洞攻擊那些經常訪問網站（包括行動裝置）的網站。水坑仍然可以成為…大規模針對可能仍在運行未打補丁的瀏覽器的人群的有效途徑。

駭客有可能購買並改編了間諜軟體的漏洞，或者竊取了這些漏洞或透過洩密獲取了它們。駭客也有可能受到商業漏洞的啟發，並透過檢查受感染的受害者設備對其進行逆向工程。

NSO 集團負責全球通訊的副總裁吉爾·萊納(Gil Lainer) 在一份聲明中告訴《連線》：「NSO 不會向俄羅斯出售其產品。我們的技術專門出售給經過審查的美國和以色列盟友的情報和執法機構。

2023 年11 月至2024 年2 月期間，駭客使用了iOS 和Safari 漏洞，該漏洞在技術上與Intellexa 幾個月前於2023 年9 月作為未修補的零日首次推出的產品相同。月，駭客也使用了改編自 2024 年 5 月首次出現的 NSO Group 工具的 Chrome 漏洞。

當攻擊者利用已修補的漏洞時，該活動稱為“n 天利用”，因為隨著時間的推移，該漏洞仍然存在，並且可能在未修補的設備中被濫用。可疑的俄羅斯駭客整合了商業間諜軟體的相鄰工具，但其整體活動的建構方式（包括惡意軟體傳播和受感染設備上的活動）與典型的商業間諜軟體客戶不同。這顯示了一個成熟且資源充足的國家支持的駭客組織的流暢性和技術熟練程度。

「在水坑活動的每次迭代中，攻擊者使用的漏洞與來自 [commercial surveillance vendors]、Intellexa 和 NSO Group，」TAG 寫道。 「我們不知道攻擊者是如何獲得這些漏洞的。顯而易見的是，APT 攻擊者正在使用最初被 CSV 用作 0day 的 nday 漏洞。

更新於美國東部時間 2024 年 8 月 29 日下午 2 點：新增了 NSO 集團的評論。