Ook iOS-zeroday benut door SolarWinds-aanvallers
De aanvallers achter de vergaande SolarWinds-hack hebben ook een voorheen onbekende kwetsbaarheid in iOS ingezet. Deze zeroday in Apple's mobiele besturingssysteem is gebruikt in combinatie met LinkedIn-berichten aan overheidsfunctionarissen van West-Europese landen. Security-onderzoekers van Google zetten deze zaak uiteen.
De Threat Analysis Group (TAG) van de internetgigant legt in een blogpost uit hoe het gebruikers beschermd tegen zeroday-aanvallen. Daarbij worden vier zerodays belicht die dit jaar zijn ontdekt en die in de praktijk zijn benut in aanvallen door kwaadwillenden. Het gaat om twee gaten in Google's browser Chrome, één in Microsofts eervorige webbrowser Internet Explorer, en één in de WebKit-engine van de in iOS ingebakken browser Safari.
Link met Nobelium-groep
De besproken iOS-kwetsbaarheid is niet gerelateerd aan de belichte andere exploits van dit jaar, en de aanvallen die er gebruikt van hebben gemaakt. De security-onderzoeksgroep van Google heeft het iOS-gat (CVE-2021-1879) ontdekt op 19 maart 2021, en meldt nu dat het waarschijnlijk is gebruikt door een partij die steun geniet van de Russische overheid.
Verdere details of verdenkingen over de daders worden niet gegeven, maar Ars Technica legt de link met onderzoek van Microsoft naar de uitvoerders van de geruchtmakende SolarWinds-hack. Die geavanceerde en verreikende aanval wordt toegewezen aan een groep die van Microsoft de naam Nobelium heeft gekregen.
Overheidsaanvallen
De aanvalscampagne met de iOS-zeroday komt overeen met een campagne die onderzoekers van Microsoft in mei hebben blootgelegd. Daarbij is een account van de Amerikaanse overheidsinstantie USAID voor buitenlandse ontwikkelingssamenwerking gecompromitteerd. Vervolgens zijn mails verstuurd die vanuit legitieme adressen van die officiële organisatie leken te komen.
Deze nieuwe aanval van Nobelium volgde op de eind vorig jaar ontdekte hack bij beheersoftwareleverancier SolarWinds, en daarlangs bij vele klanten van dat bedrijf. Daaronder bedrijven zoals Microsoft, maar ook overheidsinstanties zoals de Amerikaanse ministeries van Justitie en van Financiën. De federale overheid van de Verenigde Staten heeft die supplychainaanval toegewezen aan hackers die werken voor de buitenlandse inlichtingendienst SVR van Rusland.
Google bevestigt link
Google's TAG-hoofd Shane Huntley heeft de link tussen de twee aanvallen bevestigd in een e-mail aan Ars Technica. "Dit zijn twee verschillende campagnes, maar op basis van ons inzicht beschouwen we de daders achter de WebKit zeroday en de USAID-campagne als dezelfde groep daders", aldus de security-expert.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee