Охотники за вредоносными программами Google указывают на сложную группу APT, которая менее чем за год использовала как минимум 11 эксплойтов нулевого дня, чтобы начать массированное наступление на кроссплатформенные устройства. Группа активно использовала атаки watering hole для перенаправления определенных целей на пару серверов эксплойтов, доставляющих вредоносное ПО на устройства Windows, iOS и Android.
Особого внимания заслуживают кроссплатформенные возможности и возможность использования почти дюжины «нулевых дней» менее чем за год. Это означает, что хорошо подготовленный субъект имеет возможность получить доступ к инструментам взлома и эксплойтам, по крайней мере, от нескольких связанных команд.
Что такое Project Zero?
Project Zero, основанная в 2014 году, представляет собой команду аналитиков по безопасности в Google, которые исследуют уязвимости «нулевого дня» в аппаратных и программных системах, используемых пользователями по всему миру. Миссия этой команды – обнаруживать и исследовать уязвимости системы безопасности, а также улучшать интернет-безопасность и защиту для всех.
Изучая уязвимости популярного программного обеспечения – такого как мобильные операционные системы, веб-браузеры и библиотеки с открытым исходным кодом, они получают информацию, необходимую для устранения серьезных уязвимостей, лучшего понимания того, как работают атаки на основе эксплойтов, и для внесения долгосрочных структурных улучшений безопасности.
В новом сообщении в блоге, исследователь Google Project Zero Мэдди Стоун опубликовала дополнительные сведения о цепочках эксплойтов, обнаруженных в октябре прошлого года, и предупредила, что последнее открытие связано с кампанией февраля 2020 года, в которой использовалось несколько «нулевых дней».
В сообщении автор указывает, что 25% «нулевых дней», обнаруженных в 2020 году, тесно связаны с ранее опубликованными уязвимостями. Другими словами, 1 из 4 обнаруженных уязвимостей нулевого дня можно было бы избежать, если бы были проведены более тщательные исследования и были выпущены исправления более высокого качества! Отраслевые неполные исправления – исправления, которые не полностью и должным образом устраняют основную причину уязвимости системы безопасности – позволяют злоумышленникам использовать нулевой день против пользователей с минимальными усилиями.
Вот почему с середины 2019 года Project Zero отслеживает, анализирует и извлекает уроки из атак на уязвимости нулевого дня, которые активно используются преступниками. В течение последних 6 лет миссия Project Zero заключалась в том, чтобы «помешать нулевому дню».
Изощренные атаки
«После начала нашего анализа мы обнаружили ссылки на второй сервер эксплойтов на том же сайте. После первоначального снятия отпечатков (похоже, это основано на происхождении IP-адреса и пользовательского агента) на веб-сайт был внедрен iframe, указывающий на один из двух серверов эксплойтов.
В наших тестах оба сервера эксплойтов существовали во всех обнаруженных доменах», – пояснил Стоун.
Первый сервер эксплойтов изначально соответствовал только пользовательским агентам Apple iOS и Microsoft Windows и был активен в течение как минимум недели после того, как исследователи Google начали загружать инструменты для взлома. Этот сервер содержал эксплойты для ошибки удаленного выполнения кода в движке рендеринга Google Chrome и нулевой день версии 8 после исправления первоначальной ошибки.
Стоун сказал, что первый сервер кратко ответил пользовательским агентам Android, предполагая наличие эксплойтов для всех основных платформ.
Google также описал второй сервер эксплойтов, который ответил на пользовательские агенты Android и проработал не менее 36 часов. На этом сервере размещалось вредоносное ПО нулевого дня в браузерах Chrome и Samsung на устройствах Android.
Интересно, что Стоун отметил, злоумышленники использовали уникальный метод обфускации и антианализа на устройствах iOS, где эти полезные данные были зашифрованы с помощью эфемерных ключей, а это означает, что эксплойты не могли быть восстановлены из самого дампа пакета, вместо этого требовался активный MITM для перезаписи эксплуатировать на лету».
Стоун также заметил признаки того, что несколько организаций могут делиться инструментами и эксплойтами с этими кампаниями.
«Оба сервера эксплойтов использовали Chrome Freetype RCE (CVE-2020-15999) в качестве эксплойта рендеринга для Windows (сервер эксплойтов №1) и Android (сервер эксплойтов №2), но код, окружающий эти эксплойты, был совершенно другим. Тот факт, что оба сервера перестали работать в разное время, также предполагает, что это были два разных оператора», – добавил Стоун.
В целом, Стоун и команда Google Project Zero обнаружили одну полную цепочку эксплойтов, нацеленную на Chrome в Windows, две частичные цепочки эксплойтов, нацеленные на полностью исправленные устройства Android, работающие под управлением Chrome и браузера Samsung; и эксплойты удаленного выполнения кода для iOS 11 и iOS 13.
Анализ Стоуна также показывает, что группа APT нацелена на уязвимости в цепочках эксплойтов. «Уязвимости охватывают довольно широкий спектр проблем, от современной JIT-уязвимости до большого кеша и даже ошибок шрифтов. В целом, каждый из этих эксплойтов продемонстрировал опыт разработки вредоносных программ и использованных уязвимостей», – пояснила она.
Автор сообщения с некоторым восхищением подводит итог действиям киберпреступников: «В случае кампании Chrome Freetype метод нулевого дня был новаторским. Процесс выяснения того, как вызвать уязвимость ядра iOS, будет нетривиальным. Методы обфускации были разнообразны, и на их выявление уходило много времени».
© 2020 – 2021, paradox. All rights reserved.
