يقول باحثو الأمن إن المجموعة استغلت يوم الصفر في نظام تشغيل Apple لاستهداف مسؤولي الحكومة الأوروبية عبر LinkedIn.
 |
| تزامنت الهجمات مع حملة قام بها نفس المتسللين الذين قدموا برامج ضارة لمستخدمي Windows. |
الدولة الروسيةاستغلت المتسللون الذين دبروا هجوم سلسلة التوريد SolarWinds العام الماضي نظام iOS Zero-Day كجزء من حملة بريد إلكتروني خبيثة منفصلة تهدف إلى سرقة بيانات اعتماد مصادقة الويب من حكومات أوروبا الغربية ، وفقًا لجوجل ومايكروسوفت.
آرس تكنيكا Ars Technica
ظهرت هذه القصة في الأصل على Ars Technica ، وهو مصدر موثوق لأخبار التكنولوجيا وتحليل السياسة التقنية والمراجعات والمزيد. Ars مملوكة لشركة Condé Nast الأم لشركة WIRED.
في آخر والباحثين نشرت جوجل يوم الاربعاء مادلين ستون قال وكليمنت Lecigne و"من المرجح الروسي الممثل المدعومة من الحكومة" استغلال الضعف ثم مجهول عن طريق إرسال رسائل إلى المسؤولين الحكوميين على ينكدين.
موسكو وأوروبا الغربية والوكالة الأمريكية للتنمية الدولية
الهجمات التي تستهدف CVE-2021-1879 ، حيث يتم تعقب يوم الصفر ، أعادت توجيه المستخدمين إلى المجالات التي قامت بتثبيت حمولات ضارة على أجهزة iPhone المحدثة بالكامل . وقال الباحثون إن الهجمات تزامنت مع حملة شنها نفس القراصنة الذين قدموا برامج ضارة لمستخدمي ويندوز.
الحملة تتعقب عن كثب إلى واحد كشفت عنه مايكروسوفت في مايو . في تلك الحالة ، قالت Microsoft إن Nobelium - الاسم الذي تستخدمه Microsoft لتحديد المتسللين وراء هجوم سلسلة التوريد SolarWinds - تمكن أولاً من اختراق حساب تابع للوكالة الأمريكية للتنمية الدولية ، وهي وكالة حكومية أمريكية تدير المساعدات الخارجية المدنية والمساعدة الإنمائية. من خلال التحكم في حساب الوكالة مع شركة التسويق عبر الإنترنت Constant Contact ، كان لدى المتسللين القدرة على إرسال رسائل بريد إلكتروني يبدو أنها تستخدم عناوين معروف أنها تابعة للوكالة الأمريكية.
عزت الحكومة الفيدرالية هجوم سلسلة التوريد في العام الماضي إلى قراصنة يعملون لصالح جهاز الاستخبارات الخارجية الروسي (والمختصر بـ SVR). ل أكثر من عقد من الزمان ، أجرت SVR الحملات الخبيثة التي تستهدف الحكومات ومؤسسات الفكر والرأي السياسية، ومنظمات أخرى في دول مثل ألمانيا وأوزبكستان وكوريا الجنوبية، والولايات المتحدة. أهداف وشملت وزارة الخارجية الأمريكية والبيت الأبيض في عام 2014. أسماء أخرى تستخدم لتحديد مجموعة تشمل APT29، الدوقات، ودافئ الدب.
في رسالة بالبريد الإلكتروني ، أكد رئيس مجموعة تحليل التهديدات في Google ، شين هنتلي ، العلاقة بين الهجمات التي تنطوي على الوكالة الأمريكية للتنمية الدولية و Zero-day لنظام التشغيل iOS ، والذي كان موجودًا في محرك متصفح WebKit.
كتب هنتلي:
"هاتان حملتان مختلفتان ، ولكن بناءً على رؤيتنا ، فإننا نعتبر الجهات الفاعلة وراء WebKit 0-day وحملة USAID هم نفس المجموعة من الممثلين". "من المهم أن نلاحظ أن كل شخص يرسم حدود الممثل بشكل مختلف. في هذه الحالة بالذات ، نحن متفقون مع تقييم حكومة الولايات المتحدة والمملكة المتحدة لـ APT 29. "
ننسى Sandbox
قالت مايكروسوفت ، خلال الحملة ، جرب نوبليوم أشكال هجوم متعددة. في إحدى الموجات ، قام خادم ويب يتحكم فيه نوبلوم بتوصيف الأجهزة التي زارته لتحديد نظام التشغيل والأجهزة التي تعمل عليها الأجهزة. إذا كان الجهاز المستهدف عبارة عن جهاز iPhone أو iPad ، فقد قدم الخادم ثغرة لـ CVE-2021-1879 ، مما سمح للمتسللين بتقديم هجوم برمجة نصية عالمية عبر المواقع. قامت شركة Apple بإصلاح يوم الصفر في أواخر مارس.
في منشور الأربعاء ، كتب ستون وليسين:
بعد العديد من عمليات التحقق من الصحة للتأكد من أن الجهاز الذي يتم استغلاله كان جهازًا حقيقيًا ، سيتم تقديم الحمولة النهائية لاستغلال CVE- 2021-1879. هذا الاستغلال سوف يتوقف حماية سياسة نفس الأصل من أجل جمع ملفات تعريف الارتباط للمصادقة من العديد من مواقع الويب الشهيرة ، بما في ذلك Google و Microsoft و LinkedIn و Facebook و Yahoo وإرسالها عبر WebSocket إلى عنوان IP يتحكم فيه المهاجم. سيحتاج الضحية إلى جلسة مفتوحة على هذه المواقع من Safari حتى يتم إخراج ملفات تعريف الارتباط بنجاح. لم يكن هناك هروب من صندوق الحماية أو غرسة تم تسليمها عبر هذا الاستغلال. استهدف الاستغلال إصدارات iOS من 12.4 إلى 13.7. هذا النوع من الهجوم ، الذي وصفته إيمي بورنيت في Forget the Sandbox Escape: إساءة استخدام المتصفحات من تنفيذ التعليمات البرمجية ، يتم تخفيفه في المتصفحات باستخدام تم تمكين عزل الموقع مثل Chrome أو Firefox.
إنها تمطر صفر أيام
تعد هجمات iOS جزءًا من انفجار حديث في استخدام أيام الصفر. في النصف الأول من هذا العام ، سجلت مجموعة أبحاث الثغرات الأمنية في Google Project Zero 33 استغلالًا ليوم الصفر مستخدمة في الهجمات - 11 أكثر من العدد الإجمالي من عام 2020. يرجع هذا النمو إلى عدة أسباب ، بما في ذلك اكتشاف أفضل من قبل المدافعين ودفاعات برمجية أفضل وهذا بدوره يتطلب عدة مآثر لاختراقها.
الدافع الكبير الآخر هو زيادة المعروض من أيام الصفر من الشركات الخاصة التي تبيع برمجيات إكسبلويت.
كتب باحثو Google: "
كانت إمكانات اليوم الصفري مجرد أدوات لدول قومية محددة لديها الخبرة التقنية للعثور على ثغرات يوم الصفر ، وتطويرها إلى ثغرات ، ثم تفعيل استخدامها بشكل استراتيجي". "في منتصف عام 2010 وحتى أواخره ، انضم المزيد من الشركات الخاصة إلى السوق لبيع هذه الإمكانات التي تبلغ مدتها صفر يوم. لم تعد المجموعات بحاجة إلى الخبرة الفنية ، والآن هم بحاجة فقط إلى الموارد ".
كانت ثغرة نظام التشغيل iOS واحدة من أربعة أيام صفر في البرية وصفتها جوجل بالتفصيل يوم الأربعاء. الثلاثة الآخرون هم:
CVE-2021-21166 و CVE-2021-30551 في Chrome و
CVE-2021-33742 في Internet Explorer
تم استخدام الثغرات الأربعة في ثلاث حملات مختلفة. بناءً على تحليلهم ، يعتقد الباحثون أن ثلاثًا من الثغرات تم تطويرها بواسطة نفس شركة المراقبة التجارية ، التي باعتها لاثنين من الفاعلين المدعومين من الحكومة. لم يحدد الباحثون شركة المراقبة أو الحكومات أو أيام الصفر الثلاثة المحددة التي أشاروا إليها.
لم يرد ممثلو شركة Apple على الفور على طلب للتعليق.
المصدر: مواقع إلكترونية
ظهرت هذه القصة في الأصل على Ars Technica .
0 تعليقات