Специалисты Google опубликовали технические подробности о четырех уязвимостях нулевого дня, которые использовались в этом году для таргетированных хакерских атак. Баги применялись для атак на пользователей браузеров Chrome, Internet Explorer и Safari для iOS.
Речь в отчете специалистов идет о следующих уязвимостях:
- CVE-2021-21166 и CVE-2021-30551 в Chrome;
- CVE-2021-33742 в Internet Explorer;
- CVE-2021-1879 в WebKit (Safari).
По информации Google, три уязвимости нулевого дня в Chrome и IE были «созданы одной и той же коммерческой компанией, разрабатывающей средства для наблюдения» (речь идет о неназванном брокере уязвимостей), которая затем продала их двум неназванным группировкам, чью деятельность поддерживают власти. Не раскрывая никаких имен и названий, специалисты утверждают, что три из четырех уязвимостей использовались в атаках, направленных на цели в Армении.
К примеру, эксплоиты для уязвимостей CVE-2021-21166 и CVE-2021-30551 в Chrome распространялись при помощи одноразовых ссылок, которые отправляли по почте будущим жертвам. Такие ссылки вели на сайты, имитирующие различные законные ресурсы.
«Когда цель кликала по ссылке, ее перенаправляли на веб-страницу, которая осуществляла фингерпринтинг устройства, собирала системную информацию о клиенте и генерировала ключи ECDH для шифрования эксплоитов, а затем передавала эти данные обратно на эксплоит-сервер. Информация, собранная на этапе фингерпринтинга, включала разрешение экрана, часовой пояс, языки, плагины для браузера и доступные типы MIME. Эту информацию злоумышленники собирали, чтобы решить, следует ли доставлять эксплоит цели», — гласит отчет.
Также команда экспертов заявила, что проблема CVE-2021-21166 влияла и на движок браузера Safari (WebKit), в силу некоторой общности кодовой базы. Исследователи передали собранную информацию Apple, которая оперативно устранила проблему, присвоив ей идентификатор CVE-2021-1844.
«У нас нет никаких доказательств того, что эта уязвимость использовалась для направленных атак на пользователей Safari», — отмечают в Google.
Что касается 0-day уязвимости в IE (CVE-2021-33742), которую Microsoft исправила в июне, Google пишет, что этот баг тоже использовался против неких целей в Армении. Проблему эксплуатировали посредством электронных писем, содержавших вредоносные документы Office. Они загружали веб-контент внутри Office через встраиваемый компонент Internet Explorer. Как и в случае с Chrome, атака включала в себя фингерпринтинг и проверку жертвы, прежде чем злоумышленники переходили к внедрению пейлоада второго этапа.
Сходство двух этих вредоносных кампаний заставило специалистов Google предположить, что эксплоиты, скорее всего, были созданы одним и тем же брокером эксплоитов.
Также отчет гласит, что были выявлены атаки с использованием уязвимости CVE-2021-1879, представлявшей угрозу для WebKit для iOS. Эти атаки в Google приписывают «потенциальному злоумышленнику, поддерживаемому российским правительством».
Атаки осуществлялись через LinkedIn Messenger, функцию LinkedIn, которая позволяет пользователям обмениваться сообщениями. Злоумышленники использовали LinkedIn для отправки сообщений с вредоносными ссылками различным правительственным чиновникам из стран Западной Европы. Если жертва открывала такую ссылку через браузер Safari на iOS, эксплоит отключал защиту Same-Origin-Policy, чтобы «похитить аутентификационные файлы cookie нескольких популярных веб-сайтов, включая Google, Microsoft, LinkedIn, Facebook и Yahoo, а затем отправьте их через WebSocket на IP-адрес, контролируемый злоумышленниками».
Данный эксплоит представлял опасность для iOS версий с 12.4 по 13.7, и Google сообщает, что эксплуатация этой же уязвимости была замечен и в других вредоносных кампаниях, задокументированных специалистами компаний Microsoft и Volexity весной текущего года. Тогда эксперты приписали эти атаки русскоязычной хак-группе Nobelium (она же APT29 и Cozy Bear).