De Russische staatshackers achter de SolarWinds-aanval van vorig jaar maken nu actief gebruik van een zero day in iOS. De aanval is onderdeel van een e-mail campagne gericht op het stelen van authenticatiegegevens van West-Europese overheden. Zo beweren Google en Microsoft.
De hackers maken misbruik van de zero day om berichten naar ambtenaren te sturen via LinkedIn. Nadat hackers via de CVE-2021-1879 (zoals de zero day heet) inbreken in een iOS toestel, sturen ze gebruikers naar domeinen waar ze kwaadaardige payloads installeren op volledig geüpdatete iPhones.
De aanvallen via de iOS zero days vallen samen met een campagne door dezelfde hackers die malware installeert bij Windows-gebruikers.
De aanval lijkt sterk op een aanval die Microsoft afgelopen mei bekendmaakte. Destijds maakte Microsoft bekend dat Nobelium (zoals het bedrijf de groep achter de SolarWinds aanvallen noemt) er eerst in slaagde om een account van de USAID te compromitteren. Vervolgens konden hackers e-mails sturen waarvan het leek dat ze vanuit de Amerikaanse overheidsinstantie kwamen.
De federale overheid heeft de SolarWinds-aanval van vorig jaar gelinkt aan hackers die werken voor de SVR: de Russische buitenlandse inlichtingendienst. Al meer dan 10 jaar voert de SVR malware-aanvallen uit gericht op overheden, politieke denktanks en organisaties in landen als Duitsland, Oezbekistan, Zuid-Korea en de VS.
In een e-mail bevestigt Shane Huntley (hoofd van Google’s Threat Analysis Group) de connectie tussen de aanvallen op USAID en de iOS zero day. Volgens Huntley gaat het om twee aparte campagnes, maar zit wel dezelfde groep erachter.
Explosie van zero day-aanvallen
De iOS-aanvallen zijn onderdeel van een recente explosie in het gebruik van zero days. In de eerste helft van dit jaar rapporteerde de onderzoeksgroep achter Google Project Zero een totaal van 33 zero days die actief werden misbruikt. Dat zijn er 11 meer dan een jaar geleden.
Deze stijging in het aantal zero days heeft meerdere oorzaken. Zo worden we beter in het detecteren van aanvallen en is de verdediging van software verbeterd. Hierdoor zijn er meerdere aanvallen nodig om in te breken. Helaas zijn niet alle oorzaken positief. Zo zien we ook dat steeds meer particuliere bedrijven zero day exploits verkopen.
“Vroeger hadden alleen natiestaten de mogelijkheid om zero days te vinden, te misbruiken en strategisch in te zetten”, schrijft Google. “Sinds de tweede helft van 2010 zijn meer particuliere bedrijven toegetreden tot de markt en verkopen ze zero day exploits. Groepen hoeven niet langer technische expertise te hebben. Ze hebben enkel middelen nodig”, aldus Google.
De iOS-kwetsbaarheid is slechts een van de vier zero days die momenteel worden misbruikt. Zo maakte Google ook melding van:
- CVE-2021-21166 and CVE-2021-30551 in Chrome
- CVE-2021-33742 in Internet Explorer