- Регистрация
- 18.01.19
- Сообщения
- 1,603
- Депозит
- 60,333 ₽
- Сделки (гарант)
- 13
Специалисты ИБ-компании Volexity обнаружили новый эксплоит для iOS, который получил название Insomnia. По мнению исследователей, малварь связана с усилиями китайских властей по отслеживанию мусульманского национального меньшинства, уйгуров, проживающих преимущественно в провинции Синьцзян.
Исследователи рассказывают, что Insomnia работает против iOS версий 12.3, 12.3.1 и 12.3.2. Причем компания Apple исправила лежащую в сердце эксплоита уязвимость еще в июле 2019 года, выпустив iOS 12.4.
Эксплоит активно применялся против пользователей в период с января по март 2020 года. По данным компании, он загружался на устройства пользователей, посещавших ряд уйгурских сайтов (в частности akademiye[.]org). После заражения Insomnia предоставлял root-доступ к зараженным девайсам, и злоумышленники использовали это для кражи незашифрованных сообщений из различных мессенджеров, электронной почты, фотографий, списков контактов и данных о местоположении.
Схема атаки
Таким образом, все пользователи iOS, посещавшие зараженные Insomnia сайты, были уязвимы для взлома. Эксплоит мог быть запущен через любой браузер на телефоне, так как все они используют WebKit. Аналитики Volexity подтвердили успешность атак на устройства под управлением iOS 12.3.1 через мобильные браузеры Apple Safari, Google Chrome и Microsoft Edge.
Volexity сообщает, что данная кампания была развернута группировкой Evil Eye. Считается, что это спонсируемая китайскими властями хак-группа, шпионящая за уйгурским мусульманским меньшинством.
Напомню, что летом 2019 года Volexity и Google обнаружили другую кампанию Evil Eye. Тогда хакеры использовали 14 уязвимостей в iOS, которые были сгруппированы в пять цепочек эксплоитов и применялись против пользователей с 2016 года. Тогда речь тоже шла о классической атаке типа watering hole («водопой»). Такие атаки названы по аналогии с тактикой хищников, которые охотятся у водопоя, поджидая добычу — животных, пришедших напиться.
Теперь Volexity отмечает, что когда Google привлекла внимание к проблеме, Evil Eye закрыла свою инфраструктуру и прекратила использовать старые эксплоиты. Вместо этого, в январе 2020 года хакеры перешли на Insomnia.
По сравнению с 14 эксплоитами, которые применялись ранее, Insomnia имеет ряд улучшений. Так, ранее злоумышленники могли похитить у жертв GPS-координаты, фотографии из приложения iOS Photos, контакты, электронные письма из Gmail, а также сообщения из Whatsapp, Telegram, WeChat, IMessage и Hangouts. Теперь же эта функциональность была расширена и также заработала для писем из ProtonMail и изображений, передаваемых через приложение Signal.
«Включение Signal и ProtonMail [в список] может указывать на то, что уйгуры знают о потенциальной слежке за коммуникациями и пытаются использовать более защищенные приложения, чтобы избежать этого», — пишут специалисты.
Как и в предыдущих случаях, Insomnia не может надежно закрепиться в системе, так что простая перезагрузка устройства избавит его от вредоносного кода. При этом исследователи предостерегают, что это вовсе не означает, что злоумышленники вообще не могли добиться устойчивого присутствия на устройстве. Возможно, для этого просто требовалась более тонкая ручная настройка, уже после проверки жертвы.
Исследователи рассказывают, что Insomnia работает против iOS версий 12.3, 12.3.1 и 12.3.2. Причем компания Apple исправила лежащую в сердце эксплоита уязвимость еще в июле 2019 года, выпустив iOS 12.4.
Эксплоит активно применялся против пользователей в период с января по март 2020 года. По данным компании, он загружался на устройства пользователей, посещавших ряд уйгурских сайтов (в частности akademiye[.]org). После заражения Insomnia предоставлял root-доступ к зараженным девайсам, и злоумышленники использовали это для кражи незашифрованных сообщений из различных мессенджеров, электронной почты, фотографий, списков контактов и данных о местоположении.
Схема атаки
Таким образом, все пользователи iOS, посещавшие зараженные Insomnia сайты, были уязвимы для взлома. Эксплоит мог быть запущен через любой браузер на телефоне, так как все они используют WebKit. Аналитики Volexity подтвердили успешность атак на устройства под управлением iOS 12.3.1 через мобильные браузеры Apple Safari, Google Chrome и Microsoft Edge.
Volexity сообщает, что данная кампания была развернута группировкой Evil Eye. Считается, что это спонсируемая китайскими властями хак-группа, шпионящая за уйгурским мусульманским меньшинством.
Напомню, что летом 2019 года Volexity и Google обнаружили другую кампанию Evil Eye. Тогда хакеры использовали 14 уязвимостей в iOS, которые были сгруппированы в пять цепочек эксплоитов и применялись против пользователей с 2016 года. Тогда речь тоже шла о классической атаке типа watering hole («водопой»). Такие атаки названы по аналогии с тактикой хищников, которые охотятся у водопоя, поджидая добычу — животных, пришедших напиться.
Теперь Volexity отмечает, что когда Google привлекла внимание к проблеме, Evil Eye закрыла свою инфраструктуру и прекратила использовать старые эксплоиты. Вместо этого, в январе 2020 года хакеры перешли на Insomnia.
По сравнению с 14 эксплоитами, которые применялись ранее, Insomnia имеет ряд улучшений. Так, ранее злоумышленники могли похитить у жертв GPS-координаты, фотографии из приложения iOS Photos, контакты, электронные письма из Gmail, а также сообщения из Whatsapp, Telegram, WeChat, IMessage и Hangouts. Теперь же эта функциональность была расширена и также заработала для писем из ProtonMail и изображений, передаваемых через приложение Signal.
«Включение Signal и ProtonMail [в список] может указывать на то, что уйгуры знают о потенциальной слежке за коммуникациями и пытаются использовать более защищенные приложения, чтобы избежать этого», — пишут специалисты.
Как и в предыдущих случаях, Insomnia не может надежно закрепиться в системе, так что простая перезагрузка устройства избавит его от вредоносного кода. При этом исследователи предостерегают, что это вовсе не означает, что злоумышленники вообще не могли добиться устойчивого присутствия на устройстве. Возможно, для этого просто требовалась более тонкая ручная настройка, уже после проверки жертвы.
