Недавно обнаруженный эксплойт нулевого дня, затрагивающий старые версии iOS, был использован поддерживаемыми Россией хакерами в атаке на чиновников западноевропейских государственных органов.
Специалисты отдела анализа угроз Google представили отчёт, в котором говорится, что атака заключалась в отправке сообщений чиновникам через LinkedIn.
Жертвы, перешедшие по полученной ссылке на своем iOS-устройстве, перенаправлялись на домен, где загружалась вредоносная утилита, которая впоследствии проверяла подлинность устройства. После прохождения многочисленных проверок загружалась полная версия ПО, содержащая эксплойт CVE-2021-1879, который использовался для обхода определённых средств защиты.
По данным Google, уязвимость отключало защиту Same-Origin-Policy, которая не позволяет вредоносным скриптам собирать данные в Интернете. Отключив её, хакеры смогли собрать информацию об аутентификации веб-сайтов Google, Microsoft, LinkedIn, Facebook, Yahoo и других, а затем отправить данные на контролируемый злоумышленниками IP-адрес.
Эксплойт был нацелен на iOS версий с 12.4 по 13.7.
Браузеры, поддерживающие функцию Site Isolation, такие, как Chrome или Firefox, не подвержены атакам с использованием Same-Origin-Policy.
Хотя Google не назвал хакерскую группу, которая провела атаку, компания утверждает, что операция совпала с кампанией, проводимой тем же злоумышленником, направленной на компьютеры Windows. Издание ArsTechnica, которое сегодня сообщило о результатах исследования Google, идентифицировало группировку как Nobelium, ту же команду, которая стояла за взломом SolarWinds в 2019 году. Nobelium также использовала атаку с использованием CVE-2021-1879 во взломе, связанном с Агентством США по международному развитию.
Apple исправила эту уязвимость ещё в марте.
Ещё по теме: