Специалисты проекта Project Zero от Google рассказали, что неизвестная группа провела серию атак на пользователей гаджетов на базе Windows, iOS и Android. Две самые крупные кампании были проведены в феврале и октябре 2020 года. Общее число жертв не сообщается, но эксперты исчисляют их количество миллионами.
В отчете говорится, что атаки стали возможными благодаря так называемым «уязвимостям нулевого дня» (zero day). Это тип вредоносных программ или брешей в операционных системах, против которые еще не разработаны защитные алгоритмы. Как правило, все атаки были направлены на кражу личных данных пользователей посредством его перевода на вредоносный сайт. «На специальные веб-сайты был внедрен iframe, указывающий на один из двух серверов эксплойтов», — заявила член команды Project Zero Мэдди Стоун (Maddie Stone). Количество «уязвимостей нулевого дня», с помощью которых организовывались атаки, превысило 11 штук.
В частности, зимой 2020 года хакеры использовали уязвимости в браузере Chrome, шрифтах Windows и других компонентах системы. Организованные хакерами атаки осенью базировались на ошибке переполнения объема буфера обмена на Android-смартфонах, ошибках в iOS, сбое и раскрытии данных ядра iOS, взломе шрифтов браузера Safari.
В заключении специалистов говорится, что использование перечисленных уязвимостей свидетельствует об экспертном понимании хакерами вопроса удаленного взлома девайсов.
В середине марта группа хакеров заявила о взломе 150 тысяч камер видеонаблюдения компании Verkada по всему миру. Среди жертв киберпреступников оказались больницы, полицейские участки, тюрьмы и частные компании, например, склад Tesla в Шанхае и офисы самой Verkada.