Noticias del Mundo

Los piratas informáticos de SolarWinds utilizaron un error de iOS para comprometer los iPhones

El estado ruso Los piratas informáticos que organizaron el ataque a la cadena de suministro de SolarWinds el año pasado explotaron un día cero de iOS como parte de una campaña de correo electrónico maliciosa separada destinada a robar datos de autenticación web de los gobiernos de Europa occidental, según Google y Microsoft.

En una publicación publicada por Google el miércoles, los investigadores Maddie Stone y Clement Lecigne dijeron que un «actor probablemente patrocinado por el gobierno ruso» había explotado la vulnerabilidad entonces desconocida enviando mensajes a funcionarios del gobierno a través de LinkedIn.

Moscú, Europa Occidental y USAID

Ataques a CVE-2021-1879 durante el seguimiento de usuarios redirigidos de día cero a dominios que estaban instalando cargas útiles maliciosas en iPhones completamente actualizados. Los ataques coincidieron con una campaña de los mismos piratas informáticos que distribuían malware a los usuarios de Windows, dijeron los investigadores.

La campaña se basa de cerca en una campaña publicada por Microsoft en mayo. En ese caso, Microsoft dijo que Nobelium, el nombre que Microsoft usa para identificar a los piratas informáticos detrás del ataque a la cadena de suministro de SolarWinds, primero logró comprometer una cuenta con USAID, una agencia del gobierno de EE. UU. Que opera la ayuda civil y la ayuda al desarrollo administrada. Con el control de la cuenta de la agencia con la firma de marketing en línea Constant Contact, los piratas informáticos pudieron enviar correos electrónicos que parecen usar direcciones que se sabe que pertenecen a la agencia estadounidense.

El gobierno alemán atribuyó el ataque a la cadena de suministro el año pasado a los piratas informáticos que trabajan para el servicio de inteligencia exterior ruso (SVR para abreviar). Durante más de una década, SVR ha llevado a cabo campañas de malware contra gobiernos, think tanks políticos y otras organizaciones en países como Alemania, Uzbekistán, Corea del Sur y Estados Unidos. Los objetivos en 2014 incluyeron el Departamento de Estado de EE. UU. Y la Casa Blanca. Otros nombres que se han utilizado para identificar al grupo son APT29, The Dukes y Cozy Bear.

Artículo Recomendado:  Giannis Antetokounmpo enfrenta el "desafío" de Kobe Bryant cuando los Bucks ganan la final de la NBA

En un correo electrónico, el jefe del Grupo de Análisis de Amenazas de Google, Shane Huntley, confirmó el vínculo entre los ataques de USAID y el día cero de iOS que reside en el motor del navegador WebKit.

«Estas son dos campañas diferentes, pero debido a nuestra visibilidad, consideramos a los actores detrás de WebKit 0-day y la campaña de USAID como el mismo grupo de actores», escribió Huntley. “Es importante tener en cuenta que todos trazan límites de manera diferente. En este caso particular, estamos de acuerdo con la evaluación de APT 29 de los gobiernos de EE. UU. Y Reino Unido «.

Olvídate de la caja de arena

A lo largo de la campaña, según Microsoft, Nobelium experimentó con varios tipos de ataques. En una ola, un servidor web controlado por Nobelium perfilaba los dispositivos que lo visitaban para determinar en qué sistema operativo y hardware se estaban ejecutando los dispositivos. En el caso de que el dispositivo objetivo fuera un iPhone o iPad, un servidor entregó un exploit para CVE-2021-1879 que permitió a los piratas informáticos llevar a cabo un ataque universal de scripting entre sitios. Apple parcheó el día cero a fines de marzo.

En la publicación del miércoles, Stone y Lecigne escribieron:

Después de varias verificaciones de validación para garantizar que el dispositivo que se está explotando es un dispositivo real, se proporcionará la carga útil final para la explotación de CVE-2021-1879. Este exploit se apagaría solo Política de mismo origen Protección para recopilar cookies de autenticación de varios sitios web populares, incluidos Google, Microsoft, LinkedIn, Facebook y Yahoo, y enviarlas a una IP controlada por un atacante a través de WebSocket. La víctima debería haber abierto una sesión de Safari en estos sitios web para que las cookies se exfiltraran con éxito. No hubo escape de caja de arena o implantación entregada a través de este exploit. El exploit estaba dirigido a las versiones de iOS 12.4 a 13.7. Este tipo de ataque, descrito por Amy Burnett en Olvídese del escape de la caja de arena: mal uso de los navegadores en la ejecución del código, se muestran en los navegadores con Aislamiento del sitio activado como Chrome o Firefox.

Está lloviendo cero días

Los ataques de iOS son parte de una explosión reciente en el uso de día cero. En la primera mitad de este año, el grupo de investigación de seguridad Project Zero de Google registró 33 exploits de día cero que se utilizaron en ataques, 11 más que el total de 2020. El crecimiento está impulsado por múltiples factores, incluida una mejor detección por parte de los defensores y una mejor defensa del software, que a su vez requiere múltiples exploits para pasar.

El otro gran impulsor es el aumento de la oferta de días cero de empresas privadas que venden exploits.

.

Artículo Recomendado:  La variante delta representa alrededor del 90% de los casos de COVID en niños: actualizaciones

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba