Google: Hackers SVR russos visaram usuários do LinkedIn com o Safari dia zero

As quatro falhas de segurança foram encontradas pelos pesquisadores do Google Threat Analysis Group (TAG) e do Google Project Zero após detectar exploits que abusavam do dia zero no Google Chrome, Internet Explorer e WebKit, o mecanismo usado pelo navegador Safari da Apple.

As quatro explorações de dia zero descobertas pelos pesquisadores do Google no início deste ano enquanto eram exploradas em estado selvagem como alvo:

• CVE-2021-21166 e CVE-2021-30551 em Chrome,
• CVE-2021-33742 no Internet Explorer e
• CVE-2021-1879 no WebKit (Safari).

O Google também publicou uma análise de causa raiz para todos os quatro dias-zero:

• CVE-2021-1879: Use-After-Free em QuickTimePluginReplacement
• CVE-2021-21166: Problema do ciclo de vida do objeto Chrome em áudio
• CVE-2021-30551: Confusão de tipo de cromo no V8
• CVE-2021-33742: Gravação fora dos limites do Internet Explorer em MSHTML

“Nós amarramos três para um fornecedor de vigilância armar gov comercial garantido atacantes e um para provável russo APT”, Director Shane Huntley Google ameaça do Grupo de Análise disse .

“Na metade de 2021, houve 33 exploits de dia zero usados ​​em ataques que foram divulgados publicamente este ano – 11 a mais do que o número total de 2020”, acrescentaram os pesquisadores do Google .

“Embora haja um aumento no número de exploits de dia 0 sendo usados, acreditamos que maiores esforços de detecção e divulgação também estão contribuindo para a tendência de crescimento.”

WebKit zero-day explorado por hackers SVR russos

Embora os exploits de dia zero do Chrome e do Internet Explorer tenham sido desenvolvidos e vendidos pelo mesmo fornecedor para clientes em todo o mundo que queriam aumentar seus recursos de vigilância, eles não foram usados ​​em nenhuma campanha de alto perfil.

Isso não pode ser dito sobre a falha do CVE-2021-1879 WebKit / Safari, que, de acordo com o Google, foi usada via LinkedIn Messaging “para atingir funcionários do governo de países da Europa Ocidental, enviando-lhes links maliciosos”.

Pesquisadores do Google disseram que os atacantes eram parte de um provável ator apoiado pelo governo russo que abusou deste dia zero para visar dispositivos iOS que executam versões mais antigas do iOS (12.4 a 13.7).

Embora o Google não tenha vinculado a exploração a um grupo de ameaça específico, a Microsoft diz que o culpado é o Nobelium , o grupo de hackers patrocinado pelo estado por trás do ataque à cadeia de suprimentos da SolarWinds no ano passado que levou ao comprometimento de várias agências federais dos EUA.

A empresa de segurança cibernética Volexity também vinculou os ataques a operadores SVR com  base em táticas observadas anteriormente em ataques que remontam a 2018.

O governo dos Estados Unidos acusou formalmente o Serviço de Inteligência Estrangeiro Russo (também conhecido como SVR) em abril de realizar “a campanha de espionagem cibernética de amplo escopo” por meio de sua divisão de hackers comumente conhecida como APT29, The Dukes ou Cozy Bear.

De acordo com o Google, o objetivo final dos ataques era “coletar cookies de autenticação de vários sites populares, incluindo Google, Microsoft, LinkedIn, Facebook e Yahoo e enviá-los via WebSocket para um IP controlado pelo invasor”.

Fonte: https://www.bleepingcomputer.com/