グーグルの研究者によると、高度なハッカーのチームが9か月にわたる攻撃で11件ものゼロデイ脆弱性を悪用し、侵害されたウェブサイトを利用して、Windows、iOS、Androidで稼働するパッチが完全に適用されたデバイスを感染させたという。
このグループは、斬新なエクスプロイトおよび難読化技術、幅広い種類の脆弱性への習熟、そして複雑な配信インフラストラクチャを駆使して、2020年2月に4件のゼロデイ攻撃を仕掛けました。複数のエクスプロイトを連鎖させ、パッチが完全に適用されたWindowsおよびAndroidデバイスを侵害する能力は、GoogleのProject Zeroおよび脅威分析グループのメンバーから「非常に洗練されている」と評されました。
まだ終わっていない
Project Zeroの研究者マディ・ストーン氏は木曜日、2月の攻撃から8ヶ月の間に、同じグループがさらに7つの未知の脆弱性を悪用したと発表しました。今回の脆弱性はiOSに存在していました。2月の攻撃と同様に、ハッカーたちは水飲み場型攻撃を通じてこれらの脆弱性を悪用しました。水飲み場型攻撃とは、標的のユーザーが頻繁に訪れるウェブサイトに侵入し、訪問者のデバイスにマルウェアをインストールするコードを追加する攻撃です。
全ての攻撃において、水飲み場型サイトは訪問者を広大なインフラにリダイレクトし、訪問者が使用しているデバイスやブラウザに応じて異なるエクスプロイトをインストールしていました。2月に使用された2つのサーバーはWindowsとAndroidデバイスのみを対象としていましたが、その後の攻撃ではiOSデバイスもエクスプロイトの対象となりました。以下は、その仕組みを示した図です。
クレジット: Google
クレジット: Google
十分に強化され、パッチも適用されたOSやアプリ(例えば、Windows 10で動作するChromeやiOSで動作するSafariなど)に組み込まれた高度な防御を突破する能力は、このグループの実力を示す一つの証左でした。また、ゼロデイ脆弱性の多さも、このグループの実力を示す証左でした。2月にGoogleが、攻撃者がChromeレンダラーで悪用していたコード実行の脆弱性を修正した後、ハッカーたちはすぐにChrome V8エンジンを標的とした新たなコード実行エクスプロイトを追加しました。