Những hacker thuộc nhóm quốc gia Nga, người đã tổ chức cuộc tấn công chuỗi cung ứng SolarWinds năm ngoái, đã lợi dụng một lỗ hổng zero-day trên iOS như một phần của chiến dịch email độc hại riêng biệt nhằm vào việc đánh cắp thông tin xác thực Web từ các chính phủ ở Tây Âu, theo thông tin từ Google và Microsoft.
Trong bài đăng Google được công bố vào thứ Tư, các nhà nghiên cứu Maddie Stone và Clement Lecigne cho biết một “nhóm hành động có thể được hỗ trợ bởi chính phủ Nga” đã lợi dụng lỗ hổng lúc đó chưa biết đến bằng cách gửi thông điệp đến các quan chức chính phủ qua mạng xã hội LinkedIn.
Các cuộc tấn công nhắm vào CVE-2021-1879, theo dõi như là lỗ hổng zero-day, đã chuyển hướng người dùng đến các tên miền cài đặt các gói payload độc hại trên các iPhone đã được cập nhật đầy đủ. Các cuộc tấn công trùng khớp với chiến dịch của những hacker tương tự đã gửi phần mềm độc hại đến người dùng Windows, như các nhà nghiên cứu cho biết.
Chiến dịch này chặt chẽ theo dõi chiến dịch mà Microsoft tiết lộ vào tháng 5. Trong trường hợp đó, Microsoft cho biết Nobelium—tên mà Microsoft sử dụng để nhận diện nhóm hacker đứng sau cuộc tấn công chuỗi cung ứng SolarWinds—đầu tiên đã thành công trong việc xâm nhập vào một tài khoản thuộc sở hữu của USAID, một cơ quan chính phủ Hoa Kỳ quản lý viện trợ phát triển và viện trợ nước ngoài. Với việc kiểm soát tài khoản của cơ quan này tại công ty tiếp thị trực tuyến Constant Contact, những hacker có khả năng gửi email có vẻ sử dụng địa chỉ được biết đến là thuộc sở hữu của cơ quan Mỹ.
Chính phủ liên bang đã đặc hiệu cuộc tấn công chuỗi cung ứng năm ngoái cho nhóm hacker làm việc cho Cơ quan Tình báo Ngoại giao của Nga (viết tắt là SVR). Trong hơn một thập kỷ, SVR đã thực hiện các chiến dịch phần mềm độc hại nhắm vào chính phủ, viện nghiên cứu chính trị và các tổ chức khác ở nhiều quốc gia bao gồm Đức, Uzbekistan, Hàn Quốc và Hoa Kỳ. Các mục tiêu đã bao gồm Bộ Ngoại giao Hoa Kỳ và Nhà Trắng vào năm 2014. Các tên khác được sử dụng để nhận diện nhóm bao gồm APT29, The Dukes và Cozy Bear.
Trong một email, Giám đốc Nhóm Phân tích Mối đe dọa của Google, Shane Huntley, xác nhận mối liên kết giữa các cuộc tấn công liên quan đến USAID và lỗ hổng zero-day trên iOS, nằm trong trình duyệt WebKit.
“Đây là hai chiến dịch khác nhau, nhưng dựa trên khả năng quan sát của chúng tôi, chúng tôi xem xét rằng các nhóm đứng sau WebKit 0-day và chiến dịch USAID là cùng một nhóm nhân vật,” Huntley viết. “Quan trọng là phải lưu ý rằng mọi người vẽ biên giới nhân vật khác nhau. Trong trường hợp cụ thể này, chúng tôi đồng thuận với đánh giá của chính phủ Mỹ và Anh về APT 29.”
Trong suốt chiến dịch, Microsoft cho biết Nobelium đã thử nghiệm nhiều biến thể tấn công. Trong một làn sóng, một máy chủ web được kiểm soát bởi Nobelium đã làm hồ sơ về các thiết bị truy cập nó để xác định hệ điều hành và phần cứng mà các thiết bị chạy trên đó. Trong trường hợp thiết bị được nhắm vào là iPhone hoặc iPad, một máy chủ đã triển khai một lỗ hổng cho CVE-2021-1879, cho phép hacker thực hiện một cuộc tấn công đa trang web. Apple đã vá lỗ hổng zero-day vào cuối tháng Ba.
Trong bài đăng vào thứ Tư, Stone và Lecigne viết:
Sau một số kiểm tra xác nhận để đảm bảo rằng thiết bị đang bị lợi dụng là một thiết bị thực sự, payload cuối cùng sẽ được phục vụ để lợi dụng CVE-2021-1879. Lỗ hổng này sẽ tắt Bảo vệ Chính sách Nguồn gốc Giống nhau để thu thập cookies xác thực từ một số trang web phổ biến, bao gồm Google, Microsoft, LinkedIn, Facebook và Yahoo và gửi chúng qua WebSocket đến một địa chỉ IP được điều khiển bởi kẻ tấn công. Nạn nhân cần phải mở một phiên trên những trang web này từ Safari để cookies được gửi đi thành công. Không có việc thoát khỏi hộp cát hoặc cài đặt thông qua lỗ hổng này. Cuộc tấn công nhắm vào các phiên bản iOS từ 12.4 đến 13.7. Loại tấn công này, được mô tả bởi Amy Burnett trong Quên Bỏ Hộp Cát Thoát: Lạm Dụng Trình Duyệt Từ Mã Thực Thi, được giảm nhẹ trong các trình duyệt có Cách ly Trang được bật như Chrome hoặc Firefox.
Các cuộc tấn công iOS là một phần của sự bùng nổ gần đây trong việc sử dụng zero-days. Trong nửa đầu năm nay, nhóm nghiên cứu lỗ hổng Project Zero của Google đã ghi lại 33 lỗ hổng zero-day được sử dụng trong các cuộc tấn công—nhiều hơn 11 lỗ hổng so với tổng số năm 2020. Sự tăng trưởng này có nhiều nguyên nhân, bao gồm sự phát hiện tốt hơn từ phía người bảo vệ và các phòng thủ phần mềm tốt hơn, đồng thời yêu cầu nhiều lỗ hổng để xâm nhập.
Nguyên nhân lớn khác là sự tăng cường cung cấp zero-days từ các công ty tư nhân bán exploits.
“Khả năng zero-day trước đây chỉ là công cụ của một số quốc gia được chọn lựa có chuyên môn kỹ thuật để tìm ra lỗ hổng 0-day, phát triển chúng thành exploits, và sau đó triển khai chúng theo chiến lược,” những nhà nghiên cứu của Google viết. “Ở giữa và cuối thập kỷ 2010, nhiều công ty tư nhân đã tham gia vào thị trường bán các khả năng 0-day này. Không còn nhóm nào cần phải có chuyên môn kỹ thuật, bây giờ họ chỉ cần có tài nguyên.”
Lỗ hổng iOS là một trong bốn zero-days được Google mô tả vào thứ Tư. Ba zero-days khác bao gồm:
- CVE-2021-21166 và CVE-2021-30551 trong Chrome, và
- CVE-2021-33742 trong Internet Explorer
Bốn lỗ hổng đã được sử dụng trong ba chiến dịch khác nhau. Dựa trên phân tích của họ, những nhà nghiên cứu tin rằng ba trong số những lỗ hổng này đã được một công ty giám sát thương mại phát triển, và họ đã bán chúng cho hai nhóm nhân vật được hậu thuẫn của chính phủ khác nhau. Những nhà nghiên cứu không xác định được công ty giám sát, các chính phủ, hoặc ba lỗ hổng cụ thể họ đang đề cập đến.
Đại diện từ Apple không ngay lập tức phản hồi lại yêu cầu để bình luận.
Câu chuyện này xuất hiện lần đầu trên Ars Technica.
- 📩 Những thông tin mới nhất về công nghệ, khoa học và nhiều hơn nữa: Nhận bản tin của chúng tôi!
- Cách sống sót trong cơn lốc xoáy tồi tệ nhất trong lịch sử Hoa Kỳ
- Mùi hương tương lai của khoa học viễn tưởng của Amazon
- Cảnh báo về tăng mực biển từ laser không gian
- Tôi cuối cùng đã tìm ra chiếc túi máy ảnh hoàn hảo
- Aldrona Nelson muốn làm cho khoa học và công nghệ công bằng hơn
- 👁️ Khám phá Trí tuệ Nhân tạo như chưa bao giờ với cơ sở dữ liệu mới của chúng tôi
- 🎮 MINPRICE Games: Nhận những mẹo, đánh giá và nhiều hơn nữa
- 🎧 Âm thanh không ổn đúng cách? Kiểm tra những tai nghe không dây, thanh âm và loa Bluetooth yêu thích của chúng tôi