Firma Google udostępniła ciekawy raport dotyczący czterech podatności typu 0-day, obejmujących przeglądarki: Google Chrome, Internet Explorer oraz Safari:
Do zaatakowania użytkowników wyżej wymienionego oprogramowania posłużono się czterema exploitami w trzech niepowiązanych ze sobą kampaniach. Najciekawsza z nich dotyczyła wykorzystania podatności w Safari. Służba Wywiadu Zagranicznego Federacji Rosyjskiej (SWR) zaatakowała w ten sposób urzędników państwowych z krajów Europy Zachodniej:
Atakujący wysyłali ofierze wiadomość z odnośnikiem do złośliwej strony za pośrednictwem serwisu LinkedIn:
Co ciekawe, według badaczy w tym przypadku nie wykorzystano żadnej innej luki, która mogłaby umożliwić ucieczkę z sandboxa, a następnie uruchomić złośliwe oprogramowanie na urządzeniu ofiary. W opisywanej kampanii exploit prawdopodobnie wyłączał zabezpieczenia Same-Origin-Policy w przeglądarce, aby wykraść ciasteczka autoryzujące do witryn takich jak: Microsoft, Google, LinkedIn, Facebook czy Yahoo. Dane były następnie wysyłane do serwera atakujących przy użyciu technologii WebSocket:
Tego typu taktyka obrana przez rosyjski wywiad ma wiele zalet (choć trudno mówić o zaletach w sytuacji działań niezgodnych z prawem):
Choć omawiana kampania dotyczyła urządzeń mobilnych (iOS), to w przypadku Windowsa 10 polecamy zapoznanie się z naszym artykułem na temat funkcji Microsoft Defender Application Guard. Pozwala ona na utworzenie w przeglądarce Edge (jest też rosyjskie atakuje urzednikow pomoca wiadomosci linkedin dayem safari
