Grupo que atacou SolarWinds também explorou brecha do iPhone

2 min de leitura
Imagem de: Grupo que atacou SolarWinds também explorou brecha do iPhone
Imagem: Apple/Reprodução
Avatar do autor

Na quarta-feira (14), o Google revelou que o mesmo grupo de cibercriminosos responsável pelo ataque à SolarWinds — a maior e mais sofisticada ação do tipo vista até hoje, segundo a Microsoft — explorou uma brecha de segurança do iOS, sistema operacional para dispositivos móveis da Apple. Com o movimento, o grupo visou o roubo de credenciais de autenticação de governos da Europa Ocidental.

Maddie Stone e Clément Lecigne, especialistas em segurança, detalham em comunicado publicado pelo Threat Analysis Group (TAG) que os ataques direcionados à vulnerabilidade de dia zero CVE-2021-1879, como a batizaram, redirecionavam alvos a domínios comprometidos. Os endereços, por sua vez, instalavam cargas maliciosas em iPhones, ainda que estivessem totalmente atualizados.

"Provavelmente apoiado por autoridades russas", diz o Google. O Nobelium, APT29, Dukes ou Cozy Bear, nomes atribuídos à equipe de agentes mal-intencionados, seria uma iniciativa do Serviço de Inteligência Estrangeiro da Rússia. A entidade, por mais de uma década, teria orquestrado campanhas contra instituições da Alemanha, do Uzbequistão, da Coreia do Sul e dos Estados Unidos.

Grupo russo estaria por trás de ataques recentes à SolarWinds.Grupo russo estaria por trás de ataques recentes à SolarWinds.Fonte:  Freepik 

Shane Huntley, líder do TAG, confirmou em e-mail enviado ao site Ars Technica a ligação entre as duas atividades mais recentes, mas ressaltou que tinham objetivos distintos. "É importante notar que cada uma traça os limites de seus atores de forma diferente. Neste caso específico [relacionado ao iOS], estamos alinhados com a avaliação dos governos dos EUA e do Reino Unido", destacou.

Tudo sob controle

Segundo a investigação, ao explorarem a falha CVE-2021-1879, corrigida em março pela Apple, os invasores poderiam desativar um mecanismo de segurança conhecido como política de mesma origem do Safari e coletar cookies de autenticação de vários sites populares, incluindo Google, Microsoft, LinkedIn, Facebook e Yahoo. Depois, era possível enviá-los via WebSocket para um IP controlado pelo grupo.

De todo modo, as análises apontam que não houve roubo bem-sucedido de credenciais e que a vítima precisaria manter uma sessão aberta nas páginas para que algo ocorresse, além de possuir as versões de 12.4 a 13.7 do iOS. Amy Burnett, autora de Forget the Sandbox Escape: Abusing Browsers from Code Execution, ressalta que navegadores com isolamento de site habilitado, como Chrome ou Firefox, mitigam cenários semelhantes.

Problema se encontrava em várias versões do iOS. Atualizar dispositivos é importante.Problema se encontrava em várias versões do iOS. Atualizar dispositivos é importante.Fonte:  Reprodução 

Somente no primeiro semestre deste ano, foram registradas 33 vulnerabilidades de dia zero relacionadas a diversas plataformas, todas utilizadas em ataques — 11 a mais que o total em 2020. A empresa da Maçã não se posicionou.

Grupo que atacou SolarWinds também explorou brecha do iPhone