Rosyjskie SWR atakuje urzędników za pomocą wiadomości LinkedIn z 0-dayem do Safari

Firma Google udostępniła ciekawy raport dotyczący czterech podatności typu 0-day, obejmujących przeglądarki: Google Chrome, Internet Explorer oraz Safari:

Do zaatakowania użytkowników wyżej wymienionego oprogramowania posłużono się czterema exploitami w trzech niepowiązanych ze sobą kampaniach. Najciekawsza z nich dotyczyła wykorzystania podatności w Safari. Służba Wywiadu Zagranicznego Federacji Rosyjskiej (SWR) zaatakowała w ten sposób urzędników państwowych z krajów Europy Zachodniej:

Atakujący wysyłali ofierze wiadomość z odnośnikiem do złośliwej strony za pośrednictwem serwisu LinkedIn:

Co ciekawe, według badaczy w tym przypadku nie wykorzystano żadnej innej luki, która mogłaby umożliwić ucieczkę z sandboxa, a następnie uruchomić złośliwe oprogramowanie na urządzeniu ofiary. W opisywanej kampanii exploit prawdopodobnie wyłączał zabezpieczenia Same-Origin-Policy w przeglądarce, aby wykraść ciasteczka autoryzujące do witryn takich jak: Microsoft, Google, LinkedIn, Facebook czy Yahoo. Dane były następnie wysyłane do serwera atakujących przy użyciu technologii WebSocket:

Tego typu taktyka obrana przez rosyjski wywiad ma wiele zalet (choć trudno mówić o zaletach w sytuacji działań niezgodnych z prawem):

• nie wymaga exploitów do ominięcia „piaskownicy”,
• nie ma potrzeby tworzenia złośliwego oprogramowania,
• jest trudniejsza do wykrycia.

Choć omawiana kampania dotyczyła urządzeń mobilnych (iOS), to w przypadku Windowsa 10 polecamy zapoznanie się z naszym artykułem na temat funkcji Microsoft Defender Application Guard. Pozwala ona na utworzenie w przeglądarce Edge (jest też stosowny plugin, np. do Chrome’a czy Firefoksa) okna izolowanego od naszego głównego systemu operacyjnego:

~ Jakub Bielaszewski