Google: les pirates russes du SVR ont ciblé les utilisateurs de LinkedIn

0

Les chercheurs en sécurité de Google ont partagé plus d’informations sur quatre vulnérabilités de sécurité, également connues sous le nom de zero-day, inconnues avant qu’ils ne découvrent qu’elles étaient exploitées par des pirates plus tôt cette année.

Les quatre failles de sécurité ont été découvertes par les chercheurs de Google Threat Analysis Group (TAG) et de Google Project Zero après avoir repéré des exploits abusant de la faille zero-day dans Google Chrome, Internet Explorer et WebKit, le moteur utilisé par le navigateur Web Safari d’Apple.

Les quatre exploits zero-day découverts par les chercheurs de Google plus tôt cette année alors qu’ils étaient exploités à l’état sauvage ciblaient:

Google a également publié une analyse des causes profondes pour les quatre failles zero-days:

« Nous en associons trois à un fournisseur de surveillance commerciale armant des attaquants soutenus par le gouvernement et un à probable groupe russe », a déclaré Shane Huntley, directeur de Google Threat Analysis Group.

« À mi-chemin de 2021, 33 exploits de failles zero-days ont été utilisés dans des attaques qui ont été divulguées publiquement cette année, soit 11 de plus que le nombre total de 2020 », ont ajouté les chercheurs de Google.

« Bien qu’il y ait une augmentation du nombre d’exploits de failles zero-days utilisés, nous pensons que des efforts accrus de détection et de divulgation contribuent également à la tendance à la hausse. »

La faille zero-day de WebKit exploitée par des hackers russes du SVR

Alors que les exploits zero-day de Chrome et Internet Explorer ont été développés et vendus par le même fournisseur à des clients du monde entier qui souhaitaient renforcer leurs capacités de surveillance, ils n’ont été utilisés dans aucune campagne de grande envergure.

On ne peut pas en dire autant de la faille CVE-2021-1879 de WebKit/Safari, qui, selon Google, a été utilisée via LinkedIn Messaging « pour cibler les responsables gouvernementaux des pays d’Europe occidentale en leur envoyant des liens malveillants ».

google chrome

Les chercheurs de Google ont déclaré que les attaquants faisaient partie d’un groupe probablement soutenu par le gouvernement russe qui abuse de cette faille zero-day pour cibler les appareils iOS exécutant d’anciennes versions d’iOS (12.4 à 13.7).

Bien que Google n’ait pas lié l’exploit à un groupe de menaces spécifique, Microsoft affirme que le coupable est Nobelium, le groupe de piratage à l’origine de l’attaque de la chaîne d’approvisionnement de SolarWinds l’année dernière qui a conduit à la compromission de plusieurs agences fédérales américaines.

La société de cybersécurité Volexity a également lié les attaques aux opérateurs de SVR en se basant sur les tactiques précédemment observées lors d’attaques remontant à 2018.

Le gouvernement des États-Unis a officiellement accusé le service russe de renseignement étranger (alias SVR) en Avril d’avoir mené « la campagne de cyber-espionnage à grande échelle » via sa division de piratage communément appelée APT29, The Dukes ou Cozy Bear.

Selon Google, l’objectif final des attaques était de « collecter des cookies d’authentification de plusieurs sites Web populaires, notamment Google, Microsoft, LinkedIn, Facebook et Yahoo et de les envoyer via WebSocket à une adresse IP contrôlée par un attaquant ».

Si cet article vous a plu, n’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire