ИБ-специалисты Google из исследовательской команды Project Zero рассказали в блоге об уязвимости нулевого дня, с помощью которой взломавшие SolarWinds хакеры в начале этого года атаковали пользователей iPhone. Патч против этой уязвимости вышел в обновлении iOS 14.4.2 только в конце марта 2021 года.
Критическая уязвимость в браузерном движке WebKit под названием CVE-2021-1879 позволяла злоумышленникам скрыто перенаправлять пользователей в браузере Safari на зараженные страницы с вредоносным кодом. По заверению Google, именно этот вектор атаки использовали взломавшие SolarWinds преступные группировки, чтобы скомпрометировать пользователей.
Для этого хакеры использовали эксплойт под CVE-2021-1879, который отключал защиту Same-Origin-Policy в текущем сеансе пользователя при его заходе на определенные сайты и давал полный доступ к аутентификационные файлам cookie с регистрационными данными пользователей с различных сайтов, включая Google, Microsoft, LinkedIn, Facebook и Yahoo. Большинству атакуемых этим эксплойтом пользователей хакеры заранее отсылали ссылки на зараженные сайты через LinkedIn Messenger.
Далее злоумышленники отправляли файлы cookie с устройств пользователей через WebSocket на свои специальные ресурсы в сети для сбора и анализа. Потом хакеры, причем в некоторых случаях оперативно, использовали эти данные для удаленного входа в защищенные системы под видом залогиненного пользователя и могли скрытно получать интересующую их информацию о жертве и продолжить таргетированную атаку на других пользователей.
Эксперты Google Project Zero уточнили, что похожие по поведению эксплойты для уязвимостей нулевого дня они также обнаружили для браузеров Chrome (CVE-2021-21166 и CVE-2021-30551) и Internet Explorer (CVE-2021-33742).
В декабре прошлого года FireEye опубликовала подробности взлома SolarWinds и атаке на Минфин США. ИБ-исследователи из компании FireEye рассказали, что атаку на SolarWinds организовала хакерская группа АРТ29 или Cozy Bear.
Также в декабре прошлого года Microsoft заявила об обнаружении в своей сети бэкдор-версии программного обеспечения SolarWinds. Позднее в Microsoft подтвердили, что хакеры получили доступ к внутренним сетевым и серверным ресурсам компании и смогли просмотреть часть исходного кода некоторых продуктов. Расследование компании показало, что хакеры следовали лучшим методам обеспечения безопасности операций (OpSec), чтобы минимизировать следы и оставаться вне поля зрения. В феврале 2021 года Microsoft признала, что в результате хакерской атаки на системы SolarWinds утекла часть исходного кода таких продуктов, как Azure, Exchange и Intune.