July 24, 2021

Les pirates de SolarWinds ont utilisé une faille iOS pour compromettre les iPhones

L’Etat russe pirates qui ont orchestré le Attaque de la chaîne d’approvisionnement de SolarWinds l’année dernière a exploité un iOS jour zéro dans le cadre d’une campagne de courrier électronique malveillante distincte visant à voler les informations d’authentification Web des gouvernements d’Europe occidentale, selon Google et Microsoft.

Dans un Publier Google a publié mercredi, des chercheurs Maddie Pierre et Clément Lecigne a déclaré qu’un “acteur probablement soutenu par le gouvernement russe” avait exploité la vulnérabilité alors inconnue en envoyant des messages aux représentants du gouvernement via LinkedIn.

Moscou, Europe occidentale et USAID

Les attaques ciblant CVE-2021-1879, au fur et à mesure que le jour zéro est suivi, ont redirigé les utilisateurs vers des domaines qui ont installé des charges utiles malveillantes sur une mise à jour complète iPhone. Les attaques ont coïncidé avec une campagne menée par les mêmes pirates informatiques qui ont livré des logiciels malveillants aux utilisateurs de Windows, ont déclaré les chercheurs.

La campagne suit de près un Microsoft divulgué en mai. Dans ce cas, Microsoft a déclaré que Nobelium – le nom que Microsoft utilise pour identifier les pirates informatiques derrière l’attaque de la chaîne d’approvisionnement de SolarWinds – a d’abord réussi à compromettre un compte appartenant à l’USAID, une agence gouvernementale américaine qui administre l’aide étrangère civile et l’aide au développement. Avec le contrôle du compte de l’agence auprès de la société de marketing en ligne Constant Contact, les pirates avaient la possibilité d’envoyer des e-mails qui semblaient utiliser des adresses connues pour appartenir à l’agence américaine.

Le gouvernement fédéral a attribué l’an dernier attaque de la chaîne d’approvisionnement aux pirates informatiques travaillant pour le service russe de renseignement étranger (en abrégé SVR). Pour plus d’une décennie, le SVR a mené des campagnes de malware ciblant les gouvernements, les groupes de réflexion politiques et d’autres organisations dans des pays comme l’Allemagne, l’Ouzbékistan, la Corée du Sud et les États-Unis. Cibles ont inclus le département d’État américain et la Maison Blanche en 2014. Les autres noms utilisés pour identifier le groupe incluent APT29, les Dukes et Cozy Bear.

Dans un e-mail, le chef du groupe d’analyse des menaces de Google, Shane Huntley, a confirmé le lien entre les attaques impliquant l’USAID et le zero-day iOS, qui résidait dans le moteur de navigateur WebKit.

“Ce sont deux campagnes différentes, mais sur la base de notre visibilité, nous considérons que les acteurs derrière le WebKit 0-day et la campagne USAID sont le même groupe d’acteurs”, a écrit Huntley. « Il est important de noter que tout le monde trace les limites des acteurs différemment. Dans ce cas particulier, nous sommes alignés sur l’évaluation de l’APT 29 par les gouvernements américain et britannique.

Oubliez le bac à sable

Tout au long de la campagne, a déclaré Microsoft, Nobelium a expérimenté plusieurs variantes d’attaque. En une seule vague, un serveur Web contrôlé par Nobelium a profilé les appareils qui l’ont visité pour déterminer sur quel système d’exploitation et quel matériel les appareils fonctionnaient. Dans le cas où l’appareil ciblé était un iPhone ou un iPad, un serveur a livré un exploit pour CVE-2021-1879, qui a permis aux pirates de lancer une attaque de script intersite universelle. Pomme patché le jour zéro fin mars.

Dans le post de mercredi, Stone et Lecigne ont écrit :

Après plusieurs contrôles de validation pour s’assurer que l’appareil exploité était un appareil réel, la charge utile finale serait servie pour exploiter CVE-​2021-1879. Cet exploit désactiverait Même-Origine-Politique protections afin de collecter des cookies d’authentification de plusieurs sites Web populaires, notamment Google, Microsoft, LinkedIn, Facebook et Yahoo et de les envoyer via WebSocket à une adresse IP contrôlée par un attaquant. La victime aurait besoin d’avoir une session ouverte sur ces sites Web à partir de Safari pour que les cookies soient exfiltrés avec succès. Il n’y a pas eu d’évasion de bac à sable ou d’implant délivré via cet exploit. L’exploit ciblait les versions iOS 12.4 à 13.7. Ce type d’attaque, décrit par Amy Burnett dans Oubliez l’évasion du bac à sable : abuser des navigateurs de l’exécution de code, sont atténués dans les navigateurs avec Isolement du site activé comme Chrome ou Firefox.

Il pleut des jours zéro

le iOS Les attaques font partie d’une explosion récente de l’utilisation des zero-days. Au premier semestre de cette année, le groupe de recherche sur la vulnérabilité Project Zero de Google a enregistré 33 exploits zero-day utilisés dans des attaques, soit 11 de plus que le nombre total de 2020. La croissance a plusieurs causes, notamment une meilleure détection par les défenseurs et de meilleures défenses logicielles. qui, à leur tour, nécessitent plusieurs exploits pour percer.

L’autre grand moteur est l’offre accrue de zero-days de sociétés privées vendant des exploits.

.