iOS zero-day permite a los piratas informáticos de SolarWinds comprometer iPhones completamente actualizados

La palabra DÍA CERO está oculta en medio de una pantalla llena de unos y ceros.

Los hackers estatales rusos que organizaron el ataque a la cadena de suministro de SolarWinds el año pasado explotaron un día cero de iOS como parte de una campaña de correo electrónico maliciosa separada destinada a robar las credenciales de autenticación web de los gobiernos de Europa occidental, según Google y Microsoft.

en un correo Google publicó el miércoles que los investigadores Maddie Stone y Clement Lecigne dijeron que un “actor probablemente respaldado por el gobierno ruso” explotó la vulnerabilidad entonces desconocida enviando mensajes a funcionarios del gobierno a través de LinkedIn.

Moscú, Europa Occidental y USAID

Los ataques dirigidos a CVE-2021-1879, a medida que se realiza un seguimiento del día cero, redirigieron a los usuarios a dominios que instalaron cargas útiles maliciosas en iPhones completamente actualizados. Los ataques coincidieron con una campaña de los mismos piratas informáticos que entregaron malware a los usuarios de Windows, dijeron los investigadores.

La campaña sigue de cerca a una que Microsoft reveló en mayo. En ese caso, Microsoft dijo que Nobelium, el nombre que la compañía usa para identificar a los piratas informáticos detrás del ataque a la cadena de suministro de SolarWinds, primero logró comprometer una cuenta perteneciente a USAID, una agencia del gobierno estadounidense que administra la ayuda exterior civil y la asistencia para el desarrollo. Con el control de la cuenta de la agencia para la empresa de marketing en línea Constant Contact, los piratas informáticos podían enviar correos electrónicos que parecían utilizar direcciones que se sabía que pertenecían a la agencia estadounidense.

El gobierno federal ha atribuido el ataque a la cadena de suministro del año pasado a los piratas informáticos que trabajan para el Servicio de Inteligencia Exterior de Rusia (abreviado como SVR). Durante más de una década, SVR ha llevado a cabo campañas de malware dirigidas a gobiernos, grupos de expertos políticos y otras organizaciones en países como Alemania, Uzbekistán, Corea del Sur y Estados Unidos. Objetivos ha incluido

el Departamento de Estado de EE. UU. y la Casa Blanca en 2014. Otros nombres utilizados para identificar al grupo incluyen APT29, Dukes y Cozy Bear.

En un correo electrónico, Shane Huntley, jefe del Grupo de Análisis de Amenazas de Google, confirmó la conexión entre los ataques que involucran a USAID y el día cero de iOS, que residía en el motor del navegador WebKit.

“Estas son dos campañas diferentes, pero según nuestra visibilidad, consideramos que los actores detrás de WebKit 0-day y la campaña de USAID son el mismo grupo de actores”, escribió Huntley. “Es importante señalar que todos trazan los límites de los actores de manera diferente. En este caso particular, estamos alineados con la evaluación de APT 29 de los gobiernos de EE. UU. Y Reino Unido “.

Olvídate de la caja de arena

A lo largo de la campaña, dijo Microsoft, Nobelium experimentó con múltiples variaciones de ataque. En una ola, un servidor web controlado por Nobelium perfilaba los dispositivos que lo visitaban para determinar en qué sistema operativo y hardware funcionaban los dispositivos. Si el dispositivo objetivo era un iPhone o iPad, un servidor utilizaba un exploit para CVE-2021-1879, que permitía a los piratas informáticos realizar un ataque universal de secuencias de comandos entre sitios. manzana parcheado el día cero a finales de marzo.

En la publicación del miércoles, Stone y Lecigne escribieron:

Después de varias comprobaciones de validación para garantizar que el dispositivo que se estaba explotando era un dispositivo real, la carga útil final se serviría para explotar CVE-2021-1879. Este exploit se apagaría Política de mismo origen protecciones para recopilar cookies de autenticación de varios sitios web populares, incluidos Google, Microsoft, LinkedIn, Facebook y Yahoo, y enviarlas a través de WebSocket a una IP controlada por el atacante. La víctima necesitaría tener una sesión abierta en estos sitios web desde Safari para que las cookies se exfiltraran con éxito. No hubo escape de caja de arena o implante entregado a través de este exploit. El exploit apuntó a las versiones de iOS 12.4 a 13.7. Este tipo de ataque, descrito por Amy Burnett en Olvídese del escape de la zona de pruebas: abusar de los navegadores de la ejecución de código, se mitiga en navegadores con Aislamiento del sitio habilitado, como Chrome o Firefox.

Está lloviendo cero días

Los ataques de iOS son parte de una explosión reciente en el uso de días cero. En la primera mitad de este año, el grupo de investigación de vulnerabilidades Project Zero de Google registró 33 exploits de día cero utilizados en ataques, 11 más que el número total de 2020. El crecimiento tiene varias causas, incluida una mejor detección por parte de los defensores y mejores defensas de software que requieren múltiples exploits para abrirse paso.

El otro gran impulsor es el aumento de la oferta de días cero de empresas privadas que venden exploits.

“Las capacidades de día cero solían ser solo las herramientas de estados-nación seleccionados que tenían la experiencia técnica para encontrar vulnerabilidades de día cero, desarrollarlas en exploits y luego operacionalizar estratégicamente su uso”, escribieron los investigadores de Google. “A mediados y finales de la década de 2010, más empresas privadas se unieron al mercado vendiendo estas capacidades de día cero. Los grupos ya no necesitan tener la experiencia técnica; ahora solo necesitan recursos “.

La vulnerabilidad de iOS fue una de las cuatro en estado salvaje de días cero que Google detalló el miércoles. Los otros tres fueron:

Los cuatro exploits se utilizaron en tres campañas diferentes. Según su análisis, los investigadores evalúan que tres de los exploits fueron desarrollados por la misma empresa de vigilancia comercial, que los vendió a dos actores diferentes respaldados por el gobierno. Los investigadores no identificaron la empresa de vigilancia, los gobiernos o los tres días cero específicos a los que se referían.

Los representantes de Apple no respondieron de inmediato a una solicitud de comentarios.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.