2024 оны 08-р сарын 29-нд буюу өчигдөр Google компанийн Аюул судлалын группээс (Threat Analysis Group) Монголын Засгийн газрын вэбсайтуудад 2023 оны 11-р сараас 2024 оны 07-р сарын хооронд цөөрөм халдлага буюу “watering hole attack” үйлдэн, нэвтэрсэн хэрэглэгчдийн мэдээллийг хулгайлах код суурилуулсныг тогтоосон талаар мэдээлжээ. 

Тодруулбал, Google компани халдлагад өртсөн хоёр вэбсайт болох cabinet.gov.mn (Засгийн газрын хэрэг эрхлэх газар) болон mfa.gov.mn (Гадаад харилцааны яам) вэбсайтад цөөрөм халдлагын кодыг хэд хэдэн удаа суурилуулан iPhone эсвэл Android үйлдлийн системтэй төхөөрөмжөөс нэвтэрсэн хэрэглэгчдийн Google Chrome вэб хөтчид хадгалагдсан нууц үг, вэб түүх, хадгалагдсан кредит картын мэдээлэл, cookie гэх мэдээллийг хулгайлжээ. 

Халдлага үйлдсэн APT29 бүлэг IPhone хэрэглэгчдийн хувьд 16.6.1 болон түүнээс өмнөх үйлдлийн системтэй тохиолдолд халдлагад өртөхөөр тохируулсан ба энэ халдлага 2023 оны 11-р сар болон 2024 оны 02-р сард болсон байна. IPhone хэрэглэгчид халдлагад өртсөн вэбсайтад нэвтэрсэн тохиолдолд LinkedIn, Gmail болон Facebook зэрэгт нэвтрэх cookie-г хулгайлахаар CVE-2021-879 кодыг суурилуулсан байна. 

Тайлан мэдээлэлд дурдсанаар хамгийн анх 2023 оны 11-р сард Засгийн газрын хэрэг эрхлэх газар болон Гадаад харилцааны яамны вэбсайт халдлагад өртсөн бол 2024 оны 02-р сард, дараа нь 07-р сард Гадаад харилцааны яамны вэбсайт дахин халдлагад өртсөн байна. 

Харин 07-р сард болсон халдлага нь Android үйлдлийн системтэй төхөөрөмж хэрэглэгчдэд чиглэсэн ба Google Chrome ашиглан нэвтэрсэн хэрэглэгчдийн мэдээллийг хулгайлахаар тохируулсан байна. 

Google-ийн зүгээс дараалсан халдлагуудыг Оросын Гадаад тагнуулын албатай холбоотой APT29 гэх бүлэг хакерууд үйлдсэн гэж үзэж байгаа бөгөөд тус халдлагад ашигласан cookie хулгайлагч бүтэц нь 2021 онд APT29 бүлгийн үйлдсэн халдлагатай ижил байгаа юм. 

Тус бүлэг нь наад зах нь 2008 оноос хойш үйл ажиллагаа явуулан, Европ болон НАТО-гийн орнуудын засгийн газар, судалгааны байгууллагуудад кибер халдлага зохион байгуулж, цаашлаад 2015 онд АНУ-ын Ардчилсан намын вэбсайтад кибер халдлага үйлдсэн гэж мэдээлж байжээ. Түүнчлэн энэ жил TeamViewer, Microsoft компанийн удирдлагууд болон Их Британийн засгийн газрын мэдээлэл, имэйлд халдлага үйлдсэнтухай цахим халдлагын сурвалжлагч The Record вэбсайт мэдээлсэн байна. 

Монголын Засгийн газрын вэбсайтуудад халдсаныг тогтоосон даруйд Google компани Apple болон Android-д энэ тухай мэдээлсэн ба халдлагад өртсөн вэбсайтуудыг засах зорилгоор Монгол дахь Цахим аюулгүй байдлын мэдээлэл, удирдлагын төвд мэдэгдсэн гэж уг тайланд мэдээлжээ. 

Өнгөрсөн пүрэв гарагт гарсан тайланд “APT29 хэрхэн халдлага үйлдэх кодыг олж авсныг мэдэхгүй” хэмээн тайлбарласан ч Израилд байрлалтай NSO групп, Ирландад бүртгэлтэй Intellexa бүлгийн ашиглаж байсантай ихээхэн төстэй кодыг ашигласан хэмээн онцолжээ

"Баримт нэг тэргүүнд" үндэсний сүлжээний мэдээлэл