Poszukiwacze złośliwego oprogramowania w Google zwracają uwagę na wyrafinowaną grupę APT, która wykorzystała co najmniej 11 exploitów zero-day w mniej niż rok, aby przeprowadzić masową ofensywę na wieloplatformowe urządzenia. Grupa aktywnie wykorzystywała ataki typu „watering hole” do przekierowywania określonych celów na parę serwerów exploitów dostarczających złośliwe oprogramowanie na urządzenia z systemem Windows, iOS i Android.
Uwagę zwracają przede wszystkim wieloplatformowe możliwości i potencjał jaki niesie wykorzystanie prawie tuzina „zero day-ów” w mniej niż rok. Sygnalizuje to dobrze przygotowanego aktora z możliwością dostępu do narzędzi hakerskich i exploitów z co najmniej kilku powiązanych zespołów.
Czym jest Project Zero?
Założony w 2014 roku Project Zero to zespół analityków bezpieczeństwa w Google, którzy badają luki „zero day” w systemach sprzętowych i oprogramowaniu, z których korzystają użytkownicy na całym świecie. Misją tego zespołu jest wykrywanie i badanie luk w zabezpieczeniach oraz poprawa bezpieczeństwa i ochrony Internetu dla każdego.
Poprzez badania podatności popularnego oprogramowania, takiego jak mobilne systemy operacyjne, przeglądarki internetowe i biblioteki open source, uzyskują informacje potrzebne do naprawiania poważnych luk w zabezpieczeniach, lepszego zrozumienia sposobu działania ataków opartych na exploitach oraz do wprowadzania długoterminowych ulepszeń strukturalnych w zakresie bezpieczeństwa.
W nowym poście na blogu badaczka Google Project Zero, Maddie Stone, opublikowała dodatkowe szczegóły dotyczące łańcuchów exploitów odkrytych w październiku ubiegłego roku i ostrzegła, że najnowsze odkrycie jest powiązane z kampanią z lutego 2020 r., która obejmowała wykorzystanie wielu „dni zerowych”. Post do przeczytania tutaj.
W poście autorka zwraca uwagę na fakt, że 25% z „zero day-ów” wykrytych w 2020 r. Jest ściśle związanych z wcześniej publicznie ujawnionymi lukami w zabezpieczeniach. Innymi słowy, 1 na 4 wykrytych exploitów 0-day można było potencjalnie uniknąć, gdyby przeprowadzono dokładniejsze badania i wydano lepszej jakości poprawki! W całej branży niekompletne poprawki – łatki, które nie usuwają prawidłowo i kompleksowo głównej przyczyny luki w zabezpieczeniach – umożliwiają atakującym wykorzystanie 0-day przeciwko użytkownikom przy minimalnym wysiłku.
Właśnie dlatego od połowy 2019 roku Project Zero śledzi, analizuje i uczy się od ataków na luki zeroday, które są aktywnie wykorzystywane przez przestępców. Przez ostatnie 6 lat misją Project Zero było „utrudnianie zerowego dnia”. Między innymi poprzez uczenie się sposobu jego implementacji przez hakerów.
Wyrafinowane ataki!
Według Stone’a aktor z kampanii z lutego 2020 r. nie był aktywny przez kilka miesięcy, ale w październiku powrócił z dziesiątkami stron internetowych przekierowujących na serwer exploitów.
„Po rozpoczęciu naszej analizy odkryliśmy odsyłacze do drugiego serwera exploitów w tej samej witrynie. Po wstępnym pobraniu „odcisków palców” (wydaje się, że jest to oparte na pochodzeniu adresu IP i kliencie użytkownika), do witryny internetowej wstrzyknięto ramkę iframe wskazującą na jeden z dwóch serwerów exploitów.
W naszych testach oba serwery exploitów istniały we wszystkich wykrytych domenach” – wyjaśnił Stone.
Pierwszy serwer exploitów początkowo odpowiadał tylko agentom użytkownika Apple iOS i Microsoft Windows i był aktywny przez co najmniej tydzień po tym, jak badacze Google zaczęli pobierać narzędzia hakerskie. Ten serwer zawierał exploity dla błędu zdalnego wykonania kodu w silniku renderującym Google Chrome oraz wersję 8 zeroday po załataniu początkowego błędu.
Stone powiedziała, że pierwszy serwer krótko odpowiedział agentom użytkownika Androida, sugerując istnienie exploitów dla wszystkich głównych platform.
Google opisał również drugi serwer exploitów, który odpowiedział na agentów użytkownika Androida i pozostał przy życiu przez co najmniej 36 godzin. Ten serwer zawierał koktajle złośliwego oprogramowania wykorzystujące zero-days w przeglądarkach Chrome i Samsung na urządzeniach z Androidem.
Co ciekawe, Stone zauważyła, że napastnicy używali unikalnego sposobu zaciemniania i antyanalizy na urządzeniach z systemem iOS, na których te ładunki były zaszyfrowane przy użyciu kluczy efemerycznych, co oznacza, że exploitów nie można było odzyskać z samego zrzutu pakietów, zamiast tego wymagało aktywnego MITM, aby przepisać exploita w locie ”.
Stone zauważył również oznaki, że wiele podmiotów może udostępniać narzędzia i exploity w tych kampaniach.
„Oba serwery exploitów używały Chrome Freetype RCE (CVE-2020-15999) jako exploita renderującego dla systemu Windows (serwer exploitów nr 1) i Androida (serwer exploitów nr 2), ale kod otaczający te exploity był zupełnie inny. Fakt, że oba serwery przestały działać w różnym czasie, również pozwala sądzić, że było dwóch różnych operatorów” – dodała Stone.
Podsumowując, Stone i zespół Google Project Zero wykryli jeden pełny łańcuch exploitów atakujący Chrome w systemie Windows, dwa częściowe łańcuchy exploitów skierowane na w pełni załatane urządzenia z Androidem z Chrome i przeglądarką Samsung; oraz exploity umożliwiające zdalne wykonanie kodu dla systemów iOS 11 i iOS 13.
Analiza Stone’a pokazuje również, że grupa APT jest ukierunkowana na luki wykorzystywanych w łańcuchach exploitów. „Luki obejmują dość szerokie spektrum problemów – od współczesnej luki w zabezpieczeniach JIT do dużej pamięci podręcznej czy nawet do błędów czcionek. Ogólnie każdy z tych exploitów wykazał się specjalistyczną wiedzą na temat rozwoju złośliwego oprogramowania i wykorzystywanej luki” – wyjaśniła.
Autorka posta podsumowuje akcję cyberprzestępców z niejakim podziwem: „W przypadku kampanii Chrome Freetype wykorzystana metoda zero daya była nowatorska. Proces ustalania, jak wyzwolić lukę w zabezpieczeniach jądra systemu iOS, byłby nietrywialny. Metody zaciemniania były zróżnicowane, a ich ustalenie było czasochłonne”.