-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Rosyjskie SWR atakuje urzędników za pomocą wiadomości LinkedIn z 0-dayem do Safari

16 lipca 2021, 18:11 | W biegu | komentarze 3

Firma Google udostępniła ciekawy raport dotyczący czterech podatności typu 0-day, obejmujących przeglądarki: Google Chrome, Internet Explorer oraz Safari:

Do zaatakowania użytkowników wyżej wymienionego oprogramowania posłużono się czterema exploitami w trzech niepowiązanych ze sobą kampaniach. Najciekawsza z nich dotyczyła wykorzystania podatności w Safari. Służba Wywiadu Zagranicznego Federacji Rosyjskiej (SWR) zaatakowała w ten sposób urzędników państwowych z krajów Europy Zachodniej:

Atakujący wysyłali ofierze wiadomość z odnośnikiem do złośliwej strony za pośrednictwem serwisu LinkedIn:

Co ciekawe, według badaczy w tym przypadku nie wykorzystano żadnej innej luki, która mogłaby umożliwić ucieczkę z sandboxa, a następnie uruchomić złośliwe oprogramowanie na urządzeniu ofiary. W opisywanej kampanii exploit prawdopodobnie wyłączał zabezpieczenia Same-Origin-Policy w przeglądarce, aby wykraść ciasteczka autoryzujące do witryn takich jak: Microsoft, Google, LinkedIn, Facebook czy Yahoo. Dane były następnie wysyłane do serwera atakujących przy użyciu technologii WebSocket:

Tego typu taktyka obrana przez rosyjski wywiad ma wiele zalet (choć trudno mówić o zaletach w sytuacji działań niezgodnych z prawem):

  • nie wymaga exploitów do ominięcia „piaskownicy”,
  • nie ma potrzeby tworzenia złośliwego oprogramowania,
  • jest trudniejsza do wykrycia.

Choć omawiana kampania dotyczyła urządzeń mobilnych (iOS), to w przypadku Windowsa 10 polecamy zapoznanie się z naszym artykułem na temat funkcji Microsoft Defender Application Guard. Pozwala ona na utworzenie w przeglądarce Edge (jest też stosowny plugin, np. do Chrome’a czy Firefoksa) okna izolowanego od naszego głównego systemu operacyjnego:

~ Jakub Bielaszewski

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Marcel

    Rosyjski wywiad zagraniczny ? …
    Naprawdę myślałem, że sekurak trzyma jakiś poziom.

    Z źródła jest zacytowane ( bezpodstawnie swoją drogą ) „by a likely government-backed actor”. Czy naprawdę wchodzicie na ten już wieloletni idiotyczny bandwagon osądzając rząd Rosji o wszystkie cyber-ataki?

    Dno, naprawdę dno. Nawet lewacy z Google w tym raporcie nie pokazali palcem na Rosyjskie SWR specyficznie ani nie potwierdzili, że wiedzą, że to rząd Rosyjski. Jeśli zamieszczacie takie twierdzenia warto chociaż podać jakiś source informacji.

    Odpowiedz
    • Gugiel

      „Nawet lewacy z Google w tym raporcie nie pokazali palcem na Rosyjskie SWR specyficznie ani nie potwierdzili, że wiedzą, że to rząd Rosyjski”.

      – Kruk krukowi oka nie wykole.

      Odpowiedz
  2. Miecio

    Sekurak jest konkretny a nie jak trolle z niebezpiecznika

    Odpowiedz

Odpowiedz na Gugiel