Google: Russische staatshackers gebruikten zeroday in iOS op westerse politici

Russische staatshackers hebben een zero day in iOS gebruikt om Europese politici aan te vallen. De hackers waren in dienst van de Russische inlichtingendienst en maakten gebruik van een lek in WebKit om politici via LinkedIn een phishing-link te sturen.

De kwetsbaarheid is een van de vier zero- days die zijn ontdekt door de Threat Analysis Group van Google . De TAG-groep ontdekte kwetsbaarheden in Chrome en Internet Explorer die volgens de onderzoekers actief werden uitgebuit. Die drie kwetsbaarheden zijn door 'een overheid' van een commercieel bedrijf gekocht, al geeft het bedrijf geen details. De drie kwetsbaarheden werden eerder gepatcht in Chrome en in Internet Explorer nadat TAG Microsoft op de hoogte had gesteld.

Google ontdekte ook een vierde nuldag. CVE-2021-1879 maakte cross-site scripting mogelijk via WebKit in Safari. Hierdoor werd het Same-Origin-beleid uitgeschakeld, waardoor het mogelijk werd authenticatietokens te stelen voor bijvoorbeeld Microsoft- of Facebook-accounts binnen Safari. Deze kwetsbaarheid werd ook actief misbruikt.

Volgens de Google-onderzoekers was dit hoogstwaarschijnlijk te wijten aan 'a Russian APT', een geavanceerde persistente dreiging . Ze zouden het lek gebruiken om West-Europese politici aan te vallen door hen via LinkedIn berichten te sturen met phishing-links. Hoewel het bedrijf de hackergroep niet expliciet vermeldt in de blogpost, zegt de hoofdonderzoeker tegen Ars Technica dat hij "ervan uitgaat" dat het dezelfde groep is die Microsoft eerder aanviel. Het zou APT29 zijn, een groep die ook Nobellium heet en gelieerd is aan de Russische buitenlandse inlichtingendienst.

Google waarschuwt in de blogpost ook dat het gebruik van zero days door hackersgroepen de laatste tijd flink is gegroeid. Tot nu toe zijn er dit jaar 33 gevonden door Google. In heel 2020 waren dat er slechts 22. "Groepen hebben niet langer alleen technische kennis nodig, maar alleen middelen", schrijft het bedrijf.