Новый эксплойт в iOS был использован для шпионажа за уйгурским меньшинством в Китае
@DrHerbertWest
Новый эксплойт "Insomnia" работает на версиях 12.3, 12.3.1 и 12.3.2 операционной системы iOS; в прошлом году он был исправлен в версии 12.4 операционной системы iOS.
Специализирующая на безопасности компания Volexity заявила сегодня, что она обнаружила новый эксплойт iOS, который использовался для шпионажа за угнетенным уйгурским меньшинством, которое проживает в Китае.
Volexity заявили, что эксплойт был использован в дикой природе в период с января по март 2020 года.
Эксплойт был загружен на устройства iOS пользователей, посещающих несколько уйгурских тематических веб-сайтов. Как только жертвы заходили на сайт, на устройство загружался эксплойт, дающий злоумышленникам root-доступ.
Хакеры использовали доступ к устройству для кражи текстовых сообщений с различных мессенджеров, электронной почты, фотографий, список контактов и данные о местоположении, полученные с помощью GPS.
Volexity сообщила, что эксплойт был внедрен лицом из группировки Evil Eye
Считается, что группа "Evil Eye" - это спонсируемое государством хакерское подразделение, действующее по приказу Пекина и шпионящее за уйгурским мусульманским меньшинством Китая.
Это та же самая группа, которую Google и Volexity обнаружили в августе 2019 года с помощью 14 iOS эксплойтов против уйгуров, которая по крайней мере дейтсвовала с сентября 2016 года. Эти 14 эксплойтов были также развернуты с использованием аналогичной тактики "watering hole". Суть этого метода заключается в том, чтобы внедрить эксплойт в веб-сайт и ждать пользователей, которые будут его посещать.
В новом докладе, опубликованном сегодня, Volexity говорит, что после того, как Google опубликовал свой отчёт о 14 эксплойтах iOS, групировка Evil Eye отключила свою инфраструктуру и прекратила использование старых эксплойтов.
Но, по данным Volexity, группа вернулась к жизни в январе 2020 года с новым эксплойтом "Insomnia" и продолжила там же, где и остановилась, нацелившись на уйгурское меньшинство в новой серии "watering hole" атак.
Теперь они нацелились и на Signal и ProtonMail
Исследователи Volexity утверждают, что новый эксплойт "Insomnia" также содержит улучшения по сравнению с предыдущими 14 эксплойтами iOS, которые группа использовала ранее.
Предыдущая партия эксплойтов - использовалась в атаках между 2016 и 2019 годами - могла украсть координаты GPS, фотографии из приложения iOS Photos, адресную книгу приложения "Контакты", письма из Gmail, а также сообщения из Whatsapp, Telegram, WeChat, iMessage и Hangout. [См. полный анализ Google здесь]
Согласно заявлению Volexity, новый эксплойт "Insomnia" был расширен и теперь нацелен на электронные письма из приложения ProtonMail, а также на изображения, передаваемые через приложение Signal.
"Включение приложений Signal и ProtonMail может означать, что уйгуры знают о потенциальном мониторинге своих коммуникаций и пытаются использовать приложения с мощными функциями безопасности, чтобы избежать этого", - заявил сегодня Volexity.
Insomnia работает с любым браузером на основе WebKit
Любые пользователи iOS, посещавшие эти сайты, зараженные вирусом бессонницы, могут быть взломаны.
"Обратите внимание, что эксплойт может быть запущен через любой браузер на телефоне, так как все они используют WebKit", - сказала исследовательская группа. "Компания Volexity смогла подтвердить успешный взлом телефона, работающего под 12.3.1, с помощью мобильных браузеров Apple Safari, Google Chrome и Microsoft Edge".
Как и в предыдущих эксплойтах, Insomnia до сих пор не имеет включенного механизма "boot persistence". Это означает, что простая перезагрузка телефона удаляет вредоносный код Insomnia с устройства.
Тем не менее, команда Volexity также считает, что это не обязательно означает, что Evil Eye не может добиться boot persistence.
"Возможно, у злоумышленников есть способ поддерживать постоянную работу, но они могут настроить ее только вручную после проверки цели", - сказали в компании.
По словам Volexity, в то время как эксплойт Insomnia был размещен на нескольких веб-сайтах, большую часть времени он находился на сайте Уйгурской академии (akademiye[.]org).
Пользователи, посещающие уйгурские сайты и желающие быть уверенными в том, что их не взломают, могут защитить себя, обновив устройства до версии iOS 12.4.
Канал: @DrHerbertWest
