Agrandir
Getty Images
commentaires des lecteurs
78
avec 43 affiches participantes
Partagez cette histoire
Partager sur Facebook
Partager sur Twitter
Partager sur Reddit
Les pirates de l'État russe qui ont orchestré l'attaque de la chaîne d'approvisionnement SolarWinds l'année dernière ont exploité un jour zéro iOS dans le cadre d'une campagne de courrier électronique malveillante distincte visant à voler les informations d'authentification Web des gouvernements d'Europe occidentale, selon Google et Microsoft.
Lectures complémentaires
Les pirates de SolarWinds sont de retour avec une nouvelle campagne de masse, selon Microsoft
Dans un
Publier
Google a publié mercredi, les chercheurs Maddie Stone et Clement Lecigne ont déclaré qu'un "acteur probablement soutenu par le gouvernement russe" avait exploité la vulnérabilité alors inconnue en envoyant des messages aux responsables gouvernementaux via LinkedIn.
Moscou, Europe occidentale et USAID
Les attaques ciblant CVE-2021-1879, alors que le jour zéro est suivi, ont redirigé les utilisateurs vers des domaines qui ont installé des charges utiles malveillantes sur des iPhones entièrement mis à jour. Les attaques ont coïncidé avec une campagne menée par les mêmes pirates informatiques qui ont livré des logiciels malveillants aux utilisateurs de Windows, ont déclaré les chercheurs.
Lectures complémentaires
Les pirates de SolarWinds sont de retour avec une nouvelle campagne de masse, selon Microsoft
La campagne suit de près un
Microsoft divulgué en mai
. Dans ce cas, Microsoft a déclaré que Nobelium - le nom que la société utilise pour identifier les pirates informatiques derrière l'attaque de la chaîne d'approvisionnement de SolarWinds - a d'abord réussi à compromettre un compte appartenant à l'USAID, une agence gouvernementale américaine qui administre l'aide étrangère civile et l'aide au développement. Avec le contrôle du compte de l'agence pour la société de marketing en ligne Constant Contact, les pirates pouvaient envoyer des e-mails qui semblaient utiliser des adresses connues pour appartenir à l'agence américaine.
Le gouvernement fédéral a attribué l'attaque de la chaîne d'approvisionnement de l'année dernière à des pirates informatiques travaillant pour le service russe de renseignement étranger (en abrégé SVR). Pour
plus d'une décennie
, le SVR a mené des campagnes de malware ciblant les gouvernements, les groupes de réflexion politiques et d'autres organisations dans des pays comme l'Allemagne, l'Ouzbékistan, la Corée du Sud et les États-Unis. Cibles
ont inclus
le département d'État américain et la Maison Blanche en 2014. Les autres noms utilisés pour identifier le groupe incluent APT29, les Dukes et Cozy Bear.
Dans un e-mail, Shane Huntley, chef du groupe d'analyse des menaces de Google, a confirmé le lien entre les attaques impliquant l'USAID et le zero-day iOS, qui résidait dans le moteur de navigateur WebKit.
"Ce sont deux campagnes différentes, mais sur la base de notre visibilité, nous considérons que les acteurs derrière le WebKit 0-day et la campagne USAID sont le même groupe d'acteurs", a écrit Huntley. « Il est important de noter que tout le monde trace les limites des acteurs différemment. Dans ce cas particulier, nous sommes alignés sur l'évaluation de l'APT 29 par les gouvernements américain et britannique.
Publicité
Oubliez le bac à sable
Tout au long de la campagne, a déclaré Microsoft, Nobelium a expérimenté plusieurs variantes d'attaque. En une seule vague, un serveur Web contrôlé par Nobelium a profilé les appareils qui l'ont visité pour déterminer sur quel système d'exploitation et quel matériel les appareils fonctionnaient. Si l'appareil ciblé était un iPhone ou un iPad, un serveur utilisait un exploit pour CVE-2021-1879, qui permettait aux pirates de lancer une attaque de script intersite universelle. Pomme
patché
le jour zéro fin mars.
Dans le post de mercredi, Stone et Lecigne ont écrit :
Il pleut les jours zéro
Les attaques iOS font partie d'une explosion récente de l'utilisation des zero-days. Au premier semestre de cette année, le groupe de recherche sur la vulnérabilité Project Zero de Google a enregistré 33 exploits zero-day utilisés dans des attaques, soit 11 de plus que le nombre total de 2020. La croissance a plusieurs causes, notamment une meilleure détection par les défenseurs et de meilleures défenses logicielles qui nécessitent plusieurs exploits pour percer.
L'autre grand moteur est l'offre accrue de zero-days de sociétés privées vendant des exploits.
"Les capacités 0-day n'étaient auparavant que les outils de certains États-nations qui avaient l'expertise technique pour trouver les vulnérabilités 0-day, les transformer en exploits, puis opérationnaliser stratégiquement leur utilisation", ont écrit les chercheurs de Google. « Entre le milieu et la fin des années 2010, de plus en plus d'entreprises privées ont rejoint le marché en vendant ces capacités 0 jour. Les groupes n'ont plus besoin d'avoir l'expertise technique ; maintenant, ils ont juste besoin de ressources.
La vulnérabilité d'iOS était l'une des quatre zéro-days dans la nature détaillées par Google mercredi. Les trois autres étaient :
CVE-2021-21166
et
CVE-2021-30551
dans Chrome
CVE-2021-33742
dans Internet Explorer
Les quatre exploits ont été utilisés dans trois campagnes différentes. Sur la base de leur analyse, les chercheurs estiment que trois des exploits ont été développés par la même société de surveillance commerciale, qui les a vendus à deux acteurs différents soutenus par le gouvernement. Les chercheurs n'ont pas identifié la société de surveillance, les gouvernements ou les trois jours zéro spécifiques auxquels ils faisaient référence.
Les représentants d'Apple n'ont pas immédiatement répondu à une demande de commentaire.
