Google: Российские хакеры использовали LinkedIn для атаки на айфоны европейских чиновников

Недавно обнаруженный эксплойт нулевого дня, затрагивающий старые версии iOS, был использован поддерживаемыми Россией хакерами в атаке на чиновников западноевропейских государственных органов.

Специалисты отдела анализа угроз Google представили отчёт, в котором говорится, что атака заключалась в отправке сообщений чиновникам через LinkedIn.

Жертвы, перешедшие по полученной ссылке на своем iOS-устройстве, перенаправлялись на домен, где загружалась вредоносная утилита, которая впоследствии проверяла подлинность устройства. После прохождения многочисленных проверок загружалась полная версия ПО, содержащая эксплойт CVE-2021-1879, который использовался для обхода определённых средств защиты.

По данным Google, уязвимость отключало защиту Same-Origin-Policy, которая не позволяет вредоносным скриптам собирать данные в Интернете. Отключив её, хакеры смогли собрать информацию об аутентификации веб-сайтов Google, Microsoft, LinkedIn, Facebook, Yahoo и других, а затем отправить данные на контролируемый злоумышленниками IP-адрес.

Эксплойт был нацелен на iOS версий с 12.4 по 13.7.

Браузеры, поддерживающие функцию Site Isolation, такие, как Chrome или Firefox, не подвержены атакам с использованием Same-Origin-Policy.

Хотя Google не назвал хакерскую группу, которая провела атаку, компания утверждает, что операция совпала с кампанией, проводимой тем же злоумышленником, направленной на компьютеры Windows. Издание ArsTechnica, которое сегодня сообщило о результатах исследования Google, идентифицировало группировку как Nobelium, ту же команду, которая стояла за взломом SolarWinds в 2019 году. Nobelium также использовала атаку с использованием CVE-2021-1879 во взломе, связанном с Агентством США по международному развитию.

Apple исправила эту уязвимость ещё в марте.