Googleが「ロシア政府系ハッカーがiOSのゼロデイ脆弱性を突いてヨーロッパの政府関係者を攻撃していた」と報告

Googleの脅威分析グループが新たにChromeで2種、Internet Explorerで1種、WebKit(Safari)で1種の計4種のゼロデイ脆弱性について詳細を公開しました。この4種の中でもWebKitの脆弱性は「ロシア政府の支援を受けている可能性のあるハッカーが用いた」とのことで、報道各社によってひときわ大きく報じられています。

How we protect users from 0-day attacks
https://blog.google/threat-analysis-group/how-we-protect-users-0-day-attacks/

iOS zero-day let SolarWinds hackers compromise fully updated iPhones | Ars Technica
https://arstechnica.com/gadgets/2021/07/solarwinds-hackers-used-an-ios-0-day-to-steal-google-and-microsoft-credentials/

Annoying LinkedIn Networkers Actually Russian Hackers Spreading Zero-Days, Google Says
https://www.vice.com/en/article/5dbk5q/annoying-linkedin-networkers-actually-russian-hackers-spreading-zero-days-google-says

Google: Russian SVR hackers targeted LinkedIn users with Safari zero-day
https://www.bleepingcomputer.com/news/security/google-russian-svr-hackers-targeted-linkedin-users-with-safari-zero-day/

問題のWebKitの脆弱性は「CVE-2021-1879」というもの。ロシア政府の支援を受けている可能性のあるハッカーは、このCVE-2021-1879を突くリンクをビジネス特化型SNS・LinkedInのメッセージ機能を用いてヨーロッパの政府関係者に送信。ターゲットがiOSデバイスのSafariからリンクにアクセスした場合、攻撃者が制御するドメインにリダイレクトし、Google・Microsoft・LinkedIn・Facebook・Yahooなどの人気ウェブサイトの認証CookieをWebSocketを介して攻撃者が制御するIPに送信させるという攻撃を実施していました。なお、CVE-2021-1879は2021年3月26日にリリースされたiOS 14.4.2およびiPadOS 14.4.2のセキュリティアップデートによって修正されています。

このCVE-2021-1879を突くキャンペーンは、Microsoftがロシア政府系ハッカーからたびたび受けているサイバー攻撃と密接に関連しているとみられています。Googleの脅威分析グループのShane Huntleyディレクターは、アメリカ合衆国国際開発庁(USAID)に対する攻撃とCVE-2021-1879を突くキャンペーンが関連することを確認したとコメント。「これら2つは異なるキャンペーンですが、背後にある攻撃者は同一グループだと思われます」と語りました。

Microsoftがロシア政府が支援するハッカー組織から再びサイバー攻撃を受けたと発表 - GIGAZINE

今回のCVE-2021-1879を突くキャンペーンによる被害状況は不明です。しかし、Huntleyディレクターは「政府が支援するハッカーやその他の違法な攻撃者によるアカウント侵入について、毎月4000件を超える警告をユーザーに送信しています」と答えています。

なお、CVE-2021-1879と同時に報告された脆弱性は、Chromeに関連するCVE-2021-21166とCVE-2021-30551、Internet Explorerに関連するCVE-2021-33742でした。Chromeの脆弱性2種は、電子メールで配布されたリンクにアクセスすると画面の解像度、タイムゾーン、言語、ブラウザープラグイン、MIMEタイプなどを盗み出されるという攻撃に用いられ、Internet Explorerの脆弱性はmhtml形式のファイルにアクセスするとエンジン内に悪意あるコンテンツをロードするという攻撃に用いられました。Internet Explorerの脆弱性を突く攻撃は、北朝鮮の攻撃者が実行したとみられています。