แฮ็กเกอร์ที่อยู่ในประเทศจีนซึ่งได้รับการสนับสนุนจากรัสเซีย ผู้ดำเนินการโจมตีห่วงโซ่อุปทาน SolarWinds ในปี 2020 ใช้ประโยชน์จากช่องโหว่ iOS 0 วันในการเตรียมแคมเปญอีเมลที่เป็นอันตรายซึ่งมีเป้าหมายเพื่อขโมยข้อมูลรับรองการตรวจสอบสิทธิ์จากเจ้าหน้าที่ของรัฐ ช่องโหว่เดียวกันนี้ยังถูกใช้ใน Microsoft และ Google ด้วย
iPhone ถูกบุกรุกเนื่องจากช่องโหว่ 0 วันที่แฮ็กเกอร์ในจีนใช้
ตามที่รายงานโดย กลุ่มวิเคราะห์ภัยคุกคามของ Google (TAG) เมื่อวันพุธ การโจมตีเกี่ยวข้องกับการใช้ประโยชน์จากช่องโหว่ 0 วัน โดยการส่งข้อความถึงเจ้าหน้าที่ของรัฐผ่าน LinkedIn สำหรับผู้ที่ไม่คุ้นเคยกับช่องโหว่ 0 วัน พวกเขาจะไม่รู้จักข้อบกพร่องของซอฟต์แวร์ที่สามารถโจมตีโดยการโจมตีได้จนกว่าจะมีการระบุและแก้ไข
เหยื่อที่เข้าชมลิงก์ที่เป็นอันตรายจากอุปกรณ์ iOS จะถูกเปลี่ยนเส้นทางไปยังโดเมนที่ควบคุมโดยผู้โจมตีซึ่งให้บริการเพย์โหลดขั้นต่อไป หลังจากตรวจสอบความถูกต้องแล้วเพื่อให้แน่ใจว่าอุปกรณ์ที่ถูกโจมตีเป็นอุปกรณ์จริง เพย์โหลดสุดท้ายจะถูกนำมาใช้เพื่อใช้ประโยชน์จาก CVE-2021-1879
จากข้อมูลของ Google ช่องโหว่ดังกล่าวได้ปิดการป้องกัน Same-Origin-Policy เพื่อพยายามรวบรวมคุกกี้การตรวจสอบสิทธิ์จากเว็บไซต์ยอดนิยมมากมาย รวมถึง Google, Microsoft, LinkedIn, Facebook และ Yahoo ช่องโหว่ดังกล่าวส่งข้อมูลนี้ไปยัง IP ที่ควบคุมโดยผู้โจมตีผ่าน WebSocket การโจมตีประเภทนี้ไม่ส่งผลกระทบต่อเบราว์เซอร์ที่มีการแยกไซต์ เช่น Chrome หรือ Firefox
เหยื่อจะต้องเปิดเซสชันบนเว็บไซต์เหล่านี้จาก Safari เพื่อให้สามารถกรองคุกกี้ได้สำเร็จ ไม่มีการหลบหนีหรือการปลูกถ่ายแซนด์บ็อกซ์ผ่านช่องโหว่ ช่องโหว่ดังกล่าวมุ่งเป้าไปที่ iOS เวอร์ชัน 12.4 ถึง 13.7
ในขณะที่ Google ไม่ได้ระบุกลุ่มของแฮ็กเกอร์ที่ทำการโจมตี แต่บอกว่าการเอารัดเอาเปรียบนั้นใกล้เคียงกับแคมเปญจากกลุ่มเดียวกันที่กำหนดเป้าหมายไปที่ Windows และ Google CVE-2021-21166 ถูกค้นพบในเดือนกุมภาพันธ์ 2021 ขณะใช้งาน Chrome 88.0.4323.182 และ CVE-2021-30551 ถูกค้นพบในเดือนมิถุนายน 2021 ขณะใช้งาน Chrome 91.0.4472.77
ทั้ง 0 วันเหล่านี้ถูกใช้เป็นลิงก์ครั้งเดียวที่ส่งทางอีเมลถึงเหยื่อ ซึ่ง Google เชื่อว่าทุกคนอยู่ในอาร์เมเนีย ลิงก์ดังกล่าวนำไปสู่โดเมนที่ควบคุมโดยผู้โจมตีซึ่งเลียนแบบเว็บไซต์จริงที่เกี่ยวข้องกับผู้ใช้เป้าหมาย เมื่อเหยื่อคลิกลิงก์ที่เป็นอันตราย พวกเขาจะถูกเปลี่ยนเส้นทางไปยังหน้าเว็บที่จะพิมพ์ลายนิ้วมือในอุปกรณ์ของตน รวบรวมข้อมูลระบบ และอื่นๆ ข้อมูลนี้ ซึ่งรวมถึงความละเอียดหน้าจอ เขตเวลา ภาษา ปลั๊กอินของเบราว์เซอร์ และประเภท MIME ที่พร้อมใช้งาน จะถูกส่งกลับไปยังเซิร์ฟเวอร์การหาช่องโหว่และผู้โจมตีจะตัดสินใจว่าควรส่งการเจาะระบบไปยังเป้าหมายหรือไม่
ตาม Apple CVE-2021-1879 ได้รับการแก้ไขแล้วใน iOS 12.5.2 iOS 14.4.2, iPadOS 14.4.2 และ watchOS 7.3.3 ยักษ์ใหญ่ด้านเทคโนโลยีแก้ไขข้อบกพร่องในเดือนมีนาคม
