Os invasores usaram uma combinação de vulnerabilidades do Android, Chrome e Windows, incluindo exploits de dia zero e n dias.
O Google publicou um relatório de seis partes detalhando uma operação de hacking sofisticada que a empresa detectou no início de 2020 e que visava proprietários de dispositivos Android e Windows.
Os ataques foram realizados por meio de dois servidores de exploração, entregando diferentes cadeias de exploração por meio de ataques watering hole, disse o Google. “Um servidor tinha como alvo os usuários do Windows, o outro do Android”, disse uma das equipes de segurança do Google.
O Google disse que ambos os servidores de exploração usaram as vulnerabilidades do Google Chrome para ganhar uma posição inicial nos dispositivos das vítimas. Depois que um ponto de entrada inicial foi estabelecido nos navegadores do usuário, os invasores implantaram uma exploração no nível do sistema operacional para obter mais controle dos dispositivos da vítima.
Resumindo, os servidores de exploração continham:
• Quatro bugs de "renderizador" no Google Chrome, um dos quais ainda era um dia zero no momento de sua descoberta.
• Duas explorações de escape de sandbox que abusam de três vulnerabilidades de dia zero no sistema operacional Windows.
• Um "kit de escalonamento de privilégios" composto de exploits de n dias conhecidos publicamente para versões mais antigas do sistema operacional Android.
O Google disse que embora não tenha encontrado nenhuma evidência de exploits de dia zero do Android hospedados nos servidores de exploit, seus pesquisadores de segurança acreditam que o agente da ameaça provavelmente teve acesso ao dia zero do Android também, mas provavelmente não os estava hospedando nos servidores quando seus pesquisadores o descobriram.
As cadeias de exploração foram complexas e bem engenhadas
No geral, o Google descreveu as cadeias de exploração como "projetadas para eficiência e flexibilidade por meio de sua modularidade".
"Eles são códigos complexos e bem projetados com uma variedade de novos métodos de exploração, extração madura, técnicas de pós-exploração sofisticadas e calculadas e altos volumes de anti-análise e verificações de direcionamento", disse o Google.
“Acreditamos que equipes de especialistas projetaram e desenvolveram essas cadeias de exploits”, mas o Google não forneceu quaisquer outros detalhes sobre os invasores ou o tipo de vítimas que eles almejavam.
Junto com sua postagem introdutória no blog, o Google também publicou relatórios detalhando um "bug infinito" do Chrome usado nos ataques, as cadeias de exploit do Chrome, as cadeias de exploit do Android, etapas de pós-exploração em dispositivos Android e as cadeias de exploit do Windows.
Os detalhes fornecidos devem permitir que outros fornecedores de segurança identifiquem ataques a seus clientes e rastreiem vítimas e outros ataques semelhantes realizados pelo mesmo agente de ameaça.
Veja também: