El grupo de análisis de amenazas de Google ha advertido sobre la explotación de un 0-day no revelado que afectaría principalmente a dispositivos de la compañía Apple.
Logotipo de Apple en una tienda comercial.
El objetivo de este ataque era la ciudadanía de Hong Kong, especialmente aquella que estuviese mínimamente relacionada con alguno de los siguientes grupos:
- Medios de comunicación.
- Organizaciones en pro de la democracia.
- Partidos políticos.
Este ataque constaba de diferentes 0-day’s para su ejecución, algunos de ellos públicos. Los dispositivos infectados eran principalmente dispositivos MacOS e IOS pertenecientes a la marca Apple.
Para los dispositivos MacOS, los delincuentes utilizaban un conocido «exploit» que permitía realizar una ejecución remota de código (CVE-2021-1789) para después realizar un segundo 0-day no público con la finalidad de escalar privilegios en el equipo de la víctima (CVE-2021-30869).
Una vez realizada la escalada de privilegios, los delincuentes descargaban código malicioso en la máquina infectada, ejecutándolo en segundo plano para tener control total sobre la misma.
En el caso de los dispositivos iOS, los desarrolladores no han podido trazar los pasos y «exploits» exactos que han seguido los delincuentes, aunque afirman que posiblemente el CVE-2019-8506 haya podido estar involucrado en el ataque.
Ante la noticia de los investigadores, Apple ha tenido una rápida actuación y ha parcheado sus sistemas, ofreciendo una opción de parche automático para una mejor seguridad.