Dostawca oprogramowania szpiegującego atakuje egipskie organizacje za pomocą rzadkiego łańcucha exploitów na iOS

Izraelska firma zajmująca się oprogramowaniem do nadzoru wykorzystała trzy luki dnia zerowego firmy Apple ujawnione w zeszłym tygodniu do opracowania łańcucha exploitów dla iPhone'ów oraz luki dnia zerowego w przeglądarce Chrome do wykorzystania Androidów – a wszystko to w nowatorskim ataku na egipskie organizacje.

Według niedawnego raportu z Grupy Analizy Zagrożeń Google (TAG), firma — która nazywa siebie „Intellexa” — wykorzystał specjalny dostęp uzyskany poprzez łańcuch exploitów do zainstalowania swojego charakterystycznego oprogramowania szpiegującego „Predator” przeciwko bezimiennym celom w Egipcie.

Według TAG, Predator został po raz pierwszy opracowany przez Cytrox, jednego z wielu twórców oprogramowania szpiegującego, którzy w ostatnich latach zostali wchłonięci pod patronatem Intellexy. Firma stanowi znane zagrożenie: Intellexa wdrożyła już wcześniej Predator przeciwko obywatelom Egiptu w 2021 r.

Infekcje iPhone'a firmy Intellexa w Egipcie rozpoczęły się od ataków typu man-in-the-middle (MITM), przechwytujących użytkowników próbujących uzyskać dostęp do witryn http (zaszyfrowane żądania https były odporne).

„Zastosowanie zastrzyku MITM daje atakującemu możliwość, dzięki której nie musi polegać na tym, że użytkownik podejmie typowe działanie, takie jak kliknięcie określonego łącza, otwarcie dokumentu itp.” – zauważają badacze TAG w e-mailu. „Jest to podobne do exploitów typu zero-click, ale bez konieczności znajdowania luki w powierzchni ataku typu zero-click”.

Dodali: „To kolejny przykład szkód wyrządzanych przez komercyjnych dostawców systemów nadzoru i zagrożeń, jakie stwarzają nie tylko dla jednostek, ale jako całości dla społeczeństwa”.

3 dni zerowe w iOS, 1 łańcuch ataków

Za pomocą gambitu MITM użytkownicy zostali przekierowani na stronę kontrolowaną przez osobę atakującą. Stamtąd, jeśli usidlony użytkownik byłby zamierzonym celem – każdy atak był skierowany tylko do konkretnych osób – zostałby przekierowany do drugiej domeny, gdzie uruchomiłby się exploit.

Łańcuch exploitów Intellexa obejmował trzy ataki typu zero-day luki w zabezpieczeniach, które zostały załatane od wersji iOS 17.0.1. Są śledzeni jako CVE-2023-41993 — błąd zdalnego wykonania kodu (RCE) w przeglądarce Safari; CVE-2023-41991 — problem z walidacją certyfikatu umożliwiający obejście PAC; I CVE-2023-41992 — który umożliwia eskalację uprawnień w jądrze urządzenia.

Po wykonaniu wszystkich trzech kroków mały plik binarny określał, czy usunąć szkodliwe oprogramowanie Predator.

„Odkrycie pełnego łańcucha exploitów zero-day dla iOS jest zazwyczaj nowością, jeśli chodzi o poznanie tego, co jest obecnie najnowocześniejsze dla atakujących. Za każdym razem, gdy exploit zero-day zostanie wykryty na wolności, oznacza to porażkę dla atakujących — nie chcą, abyśmy wiedzieli, jakie mają luki w zabezpieczeniach i jak działają ich exploity” – zauważyli badacze w e-mailu. „Jako branża zajmująca się bezpieczeństwem i technologią naszym zadaniem jest dowiedzieć się jak najwięcej o tych exploitach, aby znacznie utrudnić im utworzenie nowego”.

Wyjątkowa luka w Androidzie

Oprócz systemu iOS celem Intellexy były telefony z systemem Android za pośrednictwem MITM i jednorazowych linków wysyłanych bezpośrednio do celów. 

Tym razem potrzebna była tylko jedna luka: CVE-2023-4762, wysoka istotność, ale ocena 8.8 na 10 w skali istotności podatności CVSS. Wada istnieje w przeglądarce Google Chrome i umożliwia atakującym wykonanie dowolnego kodu na komputerze hosta za pośrednictwem specjalnie spreparowanej strony HTML. Zgłoszona niezależnie przez badacza bezpieczeństwa i załatana 5 września, Google TAG uważa, że ​​Intellexa wcześniej wykorzystywała tę lukę jako dzień zerowy.

Według Google TAG dobra wiadomość jest taka, że ​​dzięki odkryciom potencjalni atakujący wrócą do deski kreślarskiej. 

„Napastnicy będą teraz musieli wymienić cztery ze swoich exploitów zero-day, co oznacza, że ​​będą musieli kupić lub opracować nowe exploity, aby zachować zdolność do instalowania Predatora na iPhone’ach” – napisali badacze w e-mailu. „Za każdym razem, gdy ich exploity wychodzą na wolność, atakujący kosztują pieniądze, czas i zasoby”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/dr-global/spyware-vendor-egyptian-orgs-ios-exploit-chain