El año pasado, un grupo de funcionarios de inteligencia rusos ejecutó un ciberataque exitoso contra SolarWinds, una empresa gigante de tecnología de la información en los Estados Unidos. Después de comprometer el software de la empresa, el ataque de los rusos se extendió aún más a los clientes de SolarWinds, espiando y causando estragos sin ser detectados durante meses antes de que se descubriera la violación.
Parece que los piratas informáticos han vuelto ahora con una venganza, informes de Ars Technica , esta vez en busca de iPhones completamente actualizados, que se consideran ampliamente los más seguros de los teléfonos inteligentes de consumo masivo.
Muchos”dispositivos ultraseguros”iOS 14 de Apple se han visto comprometidos
Según la información de Google y Microsoft, estos mismos culpables lograron tener en sus manos un iOS 14 de día cero, que explotaron con el propósito de llevando a cabo una campaña de correo electrónico para robar las credenciales del gobierno de Europa Occidental para la autenticación web.
Un día cero, por más que suene una película de espías, es simplemente una vulnerabilidad de software que se acaba de dar a conocer, lo que hace que su desarrollador o propietario tenga”cero días”para solucionarlo al enterarse de eso. Un ataque de día cero es cuando una parte malintencionada explota esa vulnerabilidad antes de que el desarrollador tenga la oportunidad de parchearla.
La vulnerabilidad de día cero en este caso (con nombre en código CVE-2021-1879) reside en el motor del navegador Webkit que utiliza Safari junto con Mail en iOS y la App Store (entre otros). Lo que hizo el grupo de hackers ruso, conocido como Nobelium, fue enviar mensajes de LinkedIn a un funcionario del gobierno de EE. UU., Que contenían enlaces que instalaban cargas útiles maliciosas en los dispositivos de sus víctimas.
Después de varias comprobaciones de validación para garantizar que el dispositivo explotado era un dispositivo real, la carga útil final se serviría para explotar CVE-2021-1879. Este exploit desactivaría las protecciones de la Política del mismo origen para recopilar cookies de autenticación de varios sitios web populares, incluidos Google, Microsoft, LinkedIn, Facebook y Yahoo, y enviarlas a través de WebSocket a una IP controlada por el atacante. La víctima necesitaría tener una sesión abierta en estos sitios web desde Safari para que las cookies se exfiltraran con éxito. No hubo escape de caja de arena o implante entregado a través de este exploit. El exploit apuntó a las versiones de iOS 12.4 a 13.7. Este tipo de ataque, descrito por Amy Burnett en Forget the Sandbox Escape: Abusing Browsers from Code Execution, se mitiga en navegadores con Site Isolation habilitado, como Chrome o Firefox. —Stone y Lecigne
Desafortunadamente, la vulnerabilidad estaba presente incluso en iPhones completamente actualizados, lo que resultó en el compromiso de muchos teléfonos gubernamentales antes de su descubrimiento.
Además de piratear iPhones y Solar Winds el año pasado, también se ha descubierto que Nobelium interfiere con las elecciones presidenciales de 2020 en los Estados Unidos, además de penetrar y lanzar un ataque contra USAID (Agencia de los Estados Unidos para el Desarrollo Internacional) en los últimos meses..
Fue el jefe del Grupo de Análisis de Amenazas de Google, Shane Huntley, quien primero hizo la conexión confirmando que los hackers de día cero de iOS eran el mismo grupo involucrado en el ciberataque de USAID. Apple aún no ha hecho ningún comentario sobre la situación.
