Σύμφωνα με τη Google και τη Microsoft, οι Ρώσοι hackers που είναι υπεύθυνοι για τη SolarWinds supply chain επίθεση, που έλαβε χώρα πέρυσι, εκμεταλλεύτηκαν μια iOS zero-day ευπάθεια στα πλαίσια μιας ξεχωριστής κακόβουλης email εκστρατείας. Στόχος ήταν η κλοπή credentials από κυβερνήσεις της Δυτικής Ευρώπης.
Δείτε επίσης: Κινέζοι hackers εκμεταλλεύονται SolarWinds bug για να στοχεύσουν εταιρείες άμυνας
Σε μια δημοσίευση της Google, οι ερευνητές Maddie Stone και Clement Lecigne δήλωσαν ότι “επιτιθέμενοι που υποστηρίζονται πιθανότατα από την κυβέρνηση της Ρωσίας” εκμεταλλεύτηκαν την τότε άγνωστη ευπάθεια, στέλνοντας μηνύματα σε κυβερνητικούς αξιωματούχους μέσω του LinkedIn.
Οι επιθέσεις χρησιμοποίησαν τη zero-day ευπάθεια CVE-2021-1879, για να ανακατευθύνουν τους χρήστες σε domains που εγκατέστησαν κακόβουλα payloads σε πλήρως ενημερωμένα iPhone. Οι επιθέσεις συνέπεσαν με μια εκστρατεία από τους ίδιους hackers που παρέδωσαν κακόβουλο λογισμικό σε χρήστες των Windows.
Δείτε επίσης: Χάκερ κατέθεσε $1 εκατομμύριο σε φόρουμ κυβερνοεγκλήματος για την αγορά zero-day exploits
Τον Μάιο, η Microsoft είχε μιλήσει για την ίδια εκστρατεία. Η Microsoft είχε πει ότι οι Ρώσοι hackers Nobelium (το όνομα που χρησιμοποιεί η εταιρεία για να χαρακτηρίσει τους hackers πίσω από την SolarWinds επίθεση), κατάφεραν πρώτα να παραβιάσουν έναν λογαριασμό που ανήκει στην USAID, μια αμερικανική κυβερνητική υπηρεσία. Έχοντας στον έλεγχό τους το λογαριασμό της υπηρεσίας για την εταιρεία online μάρκετινγκ Constant Contact, οι επιτιθέμενοι μπορούσαν να στείλουν emails με διευθύνσεις που είναι γνωστό ότι ανήκουν στην αμερικανική υπηρεσία.
Η ομοσπονδιακή κυβέρνηση έχει αποδώσει τη SolarWinds supply chain επίθεση σε hackers που εργάζονται για την Υπηρεσία Εξωτερικών Πληροφοριών της Ρωσίας (SVR). Για περισσότερο από μια δεκαετία, η SVR διεξήγαγε εκστρατείες κακόβουλου λογισμικού που στοχεύουν κυβερνήσεις, πολιτικές ομάδες προβληματισμού και άλλους οργανισμούς σε χώρες όπως η Γερμανία, το Ουζμπεκιστάν, η Νότια Κορέα και οι ΗΠΑ. Στους στόχους περιλαμβάνονται και το Υπουργείο Εξωτερικών των ΗΠΑ και ο Λευκός Οίκος. Άλλα ονόματα που χρησιμοποιούνται για για τη συγκεκριμένη hacking ομάδα, όπως APT29, Dukes και Cozy Bear.
Σε ένα email, ο Shane Huntley, επικεφαλής της Ομάδας Ανάλυσης Απειλών της Google, επιβεβαίωσε τη σύνδεση μεταξύ των επιθέσεων που αφορούσαν τη USAID και το iOS zero-day.
“Αυτές είναι δύο διαφορετικές καμπάνιες, αλλά θεωρούμε ότι οι hackers πίσω από το iOS zero-day σφάλμα και την παραβίαση της USAID είναι οι ίδιοι“, έγραψε ο Huntley.
Δείτε επίσης: Adobe Experience Manager: Ερευνητές ανακάλυψαν zero-day ευπάθεια
Καθ’ όλη τη διάρκεια της εκστρατείας, η Microsoft είπε ότι η Nobelium πειραματίστηκε με πολλαπλές παραλλαγές επίθεσης. Εάν η στοχευμένη συσκευή ήταν iPhone ή iPad, ένας server χρησιμοποιούσε ένα exploit για το iOS zero-day CVE-2021-1879, το οποίο επέτρεψε στους hackers να πραγματοποιήσουν cross-site scripting επίθεση. Η Apple διόρθωσε το iOS zero-day σφάλμα στα τέλη Μαρτίου.
Στην ανάρτηση της Τετάρτης, οι ερευνητές της Google έγραψαν:
“Το τελικό payload εκμεταλλεύεται το CVE-2021-1879. Αυτό το exploit απενεργοποιεί τις προστασίες Same-Origin-Policy, προκειμένου να συλλέξει authentication cookies από διάφορα δημοφιλή sites, συμπεριλαμβανομένων των Google, Microsoft, LinkedIn, Facebook και Yahoo και να τα στείλει μέσω WebSocket σε μια IP ελεγχόμενη από εισβολείς”.
Το exploit στόχευεσε τις εκδόσεις iOS 12.4 έως 13.7.
Πηγή: Ars Technica