Ruští hackeři zneužívají chyby v Safari a Chrome při sofistikovaných útocích
Zpět na blogBezpečnostní experti odhalili sérii útoků, ve kterých ruští hackeři zneužili nedávno opravené chyby v prohlížečích Safari a Chrome. Tyto útoky, známé jako „watering hole“ útoky, byly zaměřeny na mobilní zařízení návštěvníků některých webů, kde se jim podařilo infikovat uživatele škodlivým softwarem určeným ke krádeži citlivých informací.
Útoky probíhaly mezi listopadem 2023 a červencem 2024 a jsou přisuzovány ruské státem podporované hackerské skupině APT29, známé také pod názvem Midnight Blizzard. Hackeři využívali tzv. n-day exploity – zranitelnosti, které již byly opraveny, ale stále mohly být zneužity na zařízeních, která nebyla aktualizována.
Mezi hlavní zneužité zranitelnosti patří:
– CVE-2023-41993: Chyba ve WebKit, která umožňovala útočníkům provést libovolný kód při zpracování speciálně vytvořeného webového obsahu. Tato zranitelnost byla opravena v iOS 16.7 a Safari 16.6.1 v září 2023.
– CVE-2024-4671: Chyba typu use-after-free v komponentě Visuals prohlížeče Chrome, která umožňovala útočníkům provést libovolný kód. Tato zranitelnost byla opravena v květnu 2024.
– CVE-2024-5274: Chyba typu confusion ve V8 JavaScript a WebAssembly engine Chrome, která umožňovala provést libovolný kód. Oprava této zranitelnosti byla vydána také v květnu 2024.
Hackeři využili tzv. watering hole útoky, při kterých kompromitovali například mongolské vládní weby cabinet.gov[.]mn a mfa.gov[.]mn. Tyto stránky poté obsahovaly škodlivé iframy, které při návštěvě z infikovaného zařízení sloužily k nasazení malwaru. Tento malware byl určen ke krádeži cookies z prohlížečů, což útočníkům umožnilo získat přístup k účtům na různých populárních platformách, jako jsou Google, Microsoft, LinkedIn a další.
Specificky se útoky zaměřily na uživatele iPhonů a iPadů. Po návštěvě kompromitovaných stránek byl spuštěn škodlivý kód, který validoval zařízení a následně nasadil exploit, který umožnil krádež autentizačních cookies. Tyto cookies byly poté odeslány na server útočníků.
Tyto útoky odhalují neustálé snahy státem podporovaných hackerů využívat známé zranitelnosti i po jejich oficiálním opravení. I když jsou opravy k dispozici, mnoho zařízení zůstává zranitelných kvůli nedostatečné aktualizaci, což činí tyto útoky nadále účinnými.
Kombinace zneužití různých zranitelností umožňuje útočníkům prolomit zabezpečení prohlížečů, obejít ochrany jako je sandboxing, a nasadit malware, který může krást citlivá data včetně hesel, kreditních karet, historie prohlížení a dalších důvěrných informací.
Přestože není zcela jasné, jak útočníci získali přístup k těmto zranitelnostem, existuje možnost, že byly zakoupeny od brokerů, kteří je dříve prodali komerčním dodavatelům špionážního softwaru. Tato zjištění zdůrazňují nebezpečí, které představují watering hole útoky, a potřebu pravidelných aktualizací a posílené bezpečnosti na všech úrovních uživatelských zařízení.
Zdroj: The Hacker News
Zdroj ilustračního obrázku: vygenerováno pomocí AI Midjourney
11. 9. 2024