بائع برامج تجسس يستهدف مؤسسات مصرية بسلسلة ثغرات نادرة لنظام iOS

استخدمت شركة إسرائيلية لبرامج المراقبة ثغرات Apple Zero-day الثلاث التي تم الكشف عنها الأسبوع الماضي لتطوير سلسلة استغلال لأجهزة iPhone، وChrome Zero-day لاستغلال أجهزة Android - كل ذلك في هجوم جديد على المؤسسات المصرية.

طبقا لتقرير حديث من مجموعة تحليل التهديدات في Google (TAG)، الشركة - التي تطلق على نفسها اسم "Intellexa" - استخدمت الوصول الخاص الذي اكتسبته من خلال سلسلة الاستغلال لتثبيت برنامج التجسس "Predator" المميز الخاص بها ضد أهداف غير محددة في مصر.

تم تطوير Predator لأول مرة بواسطة Cytrox، وهو أحد مطوري برامج التجسس الذين تم استيعابهم تحت مظلة Intellexa في السنوات الأخيرة، وفقًا لـ TAG. الشركة تهديد معروف: قامت شركة Intellexa بنشر طائرة Predator سابقًا ضد المواطنين المصريين في عام 2021.

بدأت إصابات أجهزة iPhone الخاصة بشركة Intellexa في مصر بهجمات رجل في الوسط (MITM)، حيث تم اعتراض المستخدمين أثناء محاولتهم الوصول إلى مواقع http (كانت طلبات https المشفرة محصنة).

"إن استخدام حقن MITM يمنح المهاجم القدرة حيث لا يضطر إلى الاعتماد على المستخدم لاتخاذ إجراء نموذجي مثل النقر فوق رابط معين، أو فتح مستند، وما إلى ذلك،" لاحظ باحثو TAG عبر البريد الإلكتروني. "يشبه هذا عمليات استغلال النقرات الصفرية، ولكن دون الحاجة إلى العثور على ثغرة أمنية في سطح هجوم النقرات الصفرية."

وأضافوا: "هذا مثال آخر على الأضرار التي يسببها بائعو المراقبة التجارية والتهديدات التي يشكلونها ليس فقط على الأفراد، بل على المجتمع ككل".

3 أيام صفرية في iOS، وسلسلة هجوم واحدة

باستخدام مناورة MITM، تمت إعادة توجيه المستخدمين إلى موقع يتحكم فيه المهاجم. ومن هناك، إذا كان المستخدم المتورط هو الهدف المقصود - حيث يستهدف كل هجوم أفرادًا محددين فقط - فستتم إعادة توجيهه إلى نطاق ثانٍ، حيث سيتم تشغيل الاستغلال.

تضمنت سلسلة استغلال Intellexa ثلاثة أيام صفر نقاط الضعف، والتي تم تصحيحها اعتبارًا من iOS 17.0.1. يتم تعقبهم على أنهم CVE-2023-41993 - خطأ في تنفيذ التعليمات البرمجية عن بعد (RCE) في Safari؛ CVE-2023-41991 - مشكلة التحقق من صحة الشهادة التي تسمح بتجاوز PAC؛ و CVE-2023-41992 - والذي يتيح تصعيد الامتيازات في نواة الجهاز.

بعد اكتمال الخطوات الثلاث، سيحدد ملف ثنائي صغير ما إذا كان سيتم إسقاط برنامج Predator الضار أم لا.

"إن العثور على سلسلة استغلال يوم صفر كاملة لنظام التشغيل iOS يعد عادةً أمرًا جديدًا في التعرف على أحدث التقنيات للمهاجمين حاليًا. في كل مرة يتم فيها اكتشاف برمجية استغلال يوم الصفر في البرية، تكون هذه حالة فشل للمهاجمين - فهم لا يريدون منا أن نعرف ما هي نقاط الضعف لديهم وكيف تعمل برمجيات إكسبلويت الخاصة بهم،» كما أشار الباحثون في رسالة البريد الإلكتروني. "باعتبارنا صناعة أمنية وتقنية، فإن مهمتنا هي أن نتعلم قدر الإمكان عن هذه الثغرات لجعل إنشاء ثغرات جديدة أكثر صعوبة بالنسبة لهم."

ثغرة أمنية فريدة في نظام أندرويد

بالإضافة إلى نظام التشغيل iOS، استهدفت Intellexa هواتف Android عبر MITM وروابط لمرة واحدة يتم إرسالها مباشرة إلى الأهداف. 

هذه المرة كانت هناك حاجة إلى ثغرة أمنية واحدة فقط: CVE-2023-4762، شديدة الخطورة ولكن حصلت على تصنيف 8.8 من أصل 10 على مقياس خطورة الضعف في CVSS. الخلل موجود في جوجل كروم ويمكّن المهاجمين من تنفيذ تعليمات برمجية عشوائية على جهاز مضيف عبر صفحة HTML مصممة خصيصًا. تم الإبلاغ بشكل مستقل من قبل باحث أمني وتم تصحيحه اعتبارًا من 5 سبتمبر، تعتقد Google TAG أن Intellexa كانت تستخدم الثغرة الأمنية سابقًا كيوم صفر.

والخبر السار هو أن النتائج ستعيد المهاجمين المحتملين إلى لوحة الرسم، وفقًا لـ Google TAG. 

أرسل الباحثون عبر البريد الإلكتروني: "سيتعين على المهاجمين الآن استبدال أربعة من ثغرات يوم الصفر الخاصة بهم، مما يعني أنه يتعين عليهم شراء أو تطوير برمجيات إكسبلويت جديدة للحفاظ على قدرتهم على تثبيت Predator على أجهزة iPhone". "في كل مرة يتم اكتشاف مآثرهم في البرية، يكلف المهاجمون المال والوقت والموارد."

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/dr-global/spyware-vendor-egyptian-orgs-ios-exploit-chain