Le Mot Zero-Day Est Caché Au Milieu D'Un Écran Rempli De Uns Et De Zéros.

Les pirates de l’État russe qui ont orchestré l’attaque de la chaîne d’approvisionnement de SolarWinds l’année dernière ont exploité un jour zéro iOS dans le cadre d’une campagne de courrier électronique malveillante distincte visant à voler les informations d’authentification Web des gouvernements d’Europe occidentale, selon Google et Microsoft.

Dans un Publier Google a publié mercredi, les chercheurs Maddie Stone et Clement Lecigne ont déclaré qu’un « acteur probablement soutenu par le gouvernement russe » avait exploité la vulnérabilité alors inconnue en envoyant des messages aux responsables gouvernementaux via LinkedIn.

Table des matières hide
1 Moscou, Europe occidentale et USAID
2 Oubliez le bac à sable
3 Il pleut les jours zéro

Moscou, Europe occidentale et USAID

Les attaques ciblant CVE-2021-1879, au fur et à mesure que le jour zéro est suivi, ont redirigé les utilisateurs vers des domaines qui ont installé des charges utiles malveillantes sur des iPhones entièrement mis à jour. Les attaques ont coïncidé avec une campagne menée par les mêmes pirates informatiques qui ont livré des logiciels malveillants aux utilisateurs de Windows, ont déclaré les chercheurs.

La campagne suit de près un Microsoft dévoilé en mai. Dans ce cas, Microsoft a déclaré que Nobelium – le nom que la société utilise pour identifier les pirates informatiques derrière l’attaque de la chaîne d’approvisionnement de SolarWinds – a d’abord réussi à compromettre un compte appartenant à l’USAID, une agence gouvernementale américaine qui administre l’aide étrangère civile et l’aide au développement. Avec le contrôle du compte de l’agence pour la société de marketing en ligne Constant Contact, les pirates pouvaient envoyer des e-mails qui semblaient utiliser des adresses connues pour appartenir à l’agence américaine.

Publicité

Le gouvernement fédéral a attribué l’attaque de la chaîne d’approvisionnement de l’année dernière à des pirates informatiques travaillant pour le service russe de renseignement étranger (en abrégé SVR). Pour plus d’une décennie, le SVR a mené des campagnes de malware ciblant les gouvernements, les groupes de réflexion politiques et d’autres organisations dans des pays comme l’Allemagne, l’Ouzbékistan, la Corée du Sud et les États-Unis. Cibles ont inclus le département d’État américain et la Maison Blanche en 2014. Les autres noms utilisés pour identifier le groupe incluent APT29, les Dukes et Cozy Bear.

Dans un e-mail, Shane Huntley, chef du groupe d’analyse des menaces de Google, a confirmé le lien entre les attaques impliquant l’USAID et le zero-day iOS, qui résidait dans le moteur de navigateur WebKit.

« Ce sont deux campagnes différentes, mais sur la base de notre visibilité, nous considérons que les acteurs derrière le WebKit 0-day et la campagne USAID sont le même groupe d’acteurs », a écrit Huntley. « Il est important de noter que chacun trace les limites des acteurs différemment. Dans ce cas particulier, nous sommes alignés sur l’évaluation de l’APT 29 par les gouvernements américain et britannique.

Oubliez le bac à sable

Tout au long de la campagne, a déclaré Microsoft, Nobelium a expérimenté plusieurs variantes d’attaque. En une seule vague, un serveur Web contrôlé par Nobelium a profilé les appareils qui l’ont visité pour déterminer sur quel système d’exploitation et quel matériel les appareils fonctionnaient. Si l’appareil ciblé était un iPhone ou un iPad, un serveur utilisait un exploit pour CVE-2021-1879, qui permettait aux pirates de lancer une attaque de script intersite universelle. Pomme patché le jour zéro fin mars.

Dans le post de mercredi, Stone et Lecigne ont écrit :

Après plusieurs contrôles de validation pour s’assurer que l’appareil exploité était un appareil réel, la charge utile finale serait servie pour exploiter CVE-​2021-1879. Cet exploit désactiverait Même-Origine-Politique protections afin de collecter des cookies d’authentification de plusieurs sites Web populaires, notamment Google, Microsoft, LinkedIn, Facebook et Yahoo et de les envoyer via WebSocket à une adresse IP contrôlée par un attaquant. La victime aurait besoin d’avoir une session ouverte sur ces sites Web à partir de Safari pour que les cookies soient exfiltrés avec succès. Il n’y a pas eu d’évasion ou d’implant de bac à sable délivré via cet exploit. L’exploit ciblait les versions iOS 12.4 à 13.7. Ce type d’attaque, décrit par Amy Burnett dans Oubliez l’évasion du bac à sable : abuser des navigateurs de l’exécution de code, est atténué dans les navigateurs avec Isolement du site activé, comme Chrome ou Firefox.

Il pleut les jours zéro

Les attaques iOS font partie d’une explosion récente de l’utilisation des zero-days. Au premier semestre de cette année, le groupe de recherche sur la vulnérabilité Project Zero de Google a enregistré 33 exploits zero-day utilisés dans des attaques, soit 11 de plus que le nombre total de 2020. La croissance a plusieurs causes, notamment une meilleure détection par les défenseurs et de meilleures défenses logicielles qui nécessitent plusieurs exploits pour percer.

L’autre grand moteur est l’offre accrue de zero-days de sociétés privées vendant des exploits.

« Les capacités 0-day n’étaient auparavant que les outils de certains États-nations qui avaient l’expertise technique pour trouver les vulnérabilités 0-day, les développer en exploits, puis opérationnaliser stratégiquement leur utilisation », ont écrit les chercheurs de Google. « Entre le milieu et la fin des années 2010, de plus en plus d’entreprises privées ont rejoint le marché en vendant ces capacités 0 jour. Les groupes n’ont plus besoin d’avoir l’expertise technique ; maintenant, ils ont juste besoin de ressources.

La vulnérabilité d’iOS était l’une des quatre zéro-days dans la nature détaillées par Google mercredi. Les trois autres étaient :

Les quatre exploits ont été utilisés dans trois campagnes différentes. Sur la base de leur analyse, les chercheurs estiment que trois des exploits ont été développés par la même société de surveillance commerciale, qui les a vendus à deux acteurs différents soutenus par le gouvernement. Les chercheurs n’ont pas identifié la société de surveillance, les gouvernements ou les trois jours zéro spécifiques auxquels ils faisaient référence.

Les représentants d’Apple n’ont pas immédiatement répondu à une demande de commentaire.

Rate this post
Publicité
Article précédentLe casque ultra-confortable HyperX Cloud Alpha S est à 40 $ de rabais aujourd’hui
Article suivantLe FBI a émis une sérieuse alerte Bitcoin et crypto
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici