Isto é uma espécie de jogo entre o gato e o rato. Se por um lado a Apple trabalha constantemente para melhorar a segurança dos seus dispositivos, os hackers estão sempre à procura de novas formas de violar os sistemas de segurança encontrados no iPhone, iPad, Mac e outros dispositivos. No início deste ano, um zero-day exploit encontrado no motor do Safari, o WebKit, permitiu que os hackers extraíssem informações de login de dispositivos iOS.
A falha foi explorada quando funcionários do governo clicaram em links nas mensagens do LinkedIn.
Zero-day exploit: Apple, Google e Microsoft na mira dos hackers
Como foi relatado pela primeira vez pelo Grupo de Análise de Ameaças do Google, um zero-day exploit, encontrada em algumas versões do iOS 14, permitiu aos hackers do SolarWinds redirecionar os utilizadores para domínios que executavam código malicioso em iPhones e iPads. Os mesmos hackers também visavam utilizadores do Windows, de acordo com a pesquisa.
Após alguma investigação, foi revelado que o mesmo grupo de hackers estava por detrás de outro zero-day exploit encontrado em dispositivos iOS. Este exploit, identificado como “CVE-2021-1879“, permitiu aos hackers recolher informações de login de vários sites, incluindo Google, Microsoft, LinkedIn, Facebook, e Yahoo.
Numa publicação da Google nesta quarta-feira, os investigadores Maddie Stone e Clement Lecigne disseram que um “provável elemento apoiado pelo governo russo” explorou a vulnerabilidade então desconhecida, enviando mensagens para funcionários do governo pelo LinkedIn.
Para quem não está familiarizado com o termo, um zero-day exploit é basicamente uma vulnerabilidade recentemente descoberta que os criadores do sistema afetado ainda desconhecem a correção.
Neste caso em particular, a Apple corrigiu subsequentemente esta falha de segurança com o iOS 14.4.2, mas, na verdade, os hackers continuaram a ter a capacidade de executar código malicioso em versões recentemente lançadas do iOS.
Quem está por trás deste ataque?
Segundo os investigadores, os ataques visam a vulnerabilidade CVE-2021-1879, e uma vez que o exploit é detetado, este redireciona os utilizadores para domínios que instalam componentes maliciosos nos iPhones totalmente atualizados. Os ataques coincidiram com uma campanha dos mesmos hackers que injetaram malware aos utilizadores de Windows.
Este ataque é muito parecido com um que foi detetada em maio pela Microsoft. Nesse caso, a Microsoft disse que o Nobelium – o nome que a empresa usa para identificar os hackers por detrás do ataque à cadeia de fornecimento SolarWinds – conseguiu primeiro comprometer uma conta pertencente à USAID, uma agência governamental dos EUA que administra ajuda externa civil e assistência ao desenvolvimento.
Com o controlo da conta da agência para a empresa de marketing online Constant Contact, os hackers poderiam enviar e-mails que pareciam usar endereços conhecidos pertencerem à agência dos EUA.
O governo atribuiu o ataque à cadeia de fornecimento, ocorrido ano passado, a hackers que trabalham para o Serviço de Informações Externas da Rússia (abreviado como SVR). Durante mais de uma década, o SVR tem levado a cabo campanhas de malware contra governos, grupos de reflexão política, e outras organizações em países como a Alemanha, Usbequistão, Coreia do Sul e os EUA.
Os alvos incluíam o Departamento de Estado dos EUA e a Casa Branca. Outros nomes utilizados para identificar o grupo são APT29, os Dukes e Cozy Bear.
A vulnerabilidade zero-day continua ativa
Os ataques ao iOS fazem parte de um exploit zero-day. No primeiro semestre deste ano, o grupo de investigação sobre vulnerabilidade do Projecto Zero do Google registou 33 exploits zero-day utilizadas. Isto é, houve mais 11 ataques que no mesmo número total de dias em 2020.
O crescimento tem várias causas, incluindo uma melhor deteção pelos sistemas de defesa e melhores softwares de defesa que requerem múltiplas artimanhas para o comprometeram.
A vulnerabilidade do iOS foi um dos quatro “in-the-wild zero-days” detalhados no Google na quarta-feira. Os outros três foram:
- CVE-2021-21166 e CVE-2021-30551 no Chrome
- CVE-2021-33742 no Internet Explorer
Apesar de ser sempre importante os equipamentos terem a versão mais recente do sistema operativo, para este tipo de vulnerabilidades, isso nem sempre é o suficiente.
Apesar disso, este tipo de ataque é muito dirigido, tem como alvo pessoas ou instituições que interessam particularmente a quem está por trás do ataque.