Ερευνητές ασφαλείας με το The Citizen Lab και την Ομάδα Ανάλυσης Απειλών (TAG) της Google αποκάλυψαν σήμερα ότι οι τρεις μηδενικές ημέρες που διορθώθηκαν από την Apple την Πέμπτη καταχράστηκαν ως μέρος μιας αλυσίδας εκμετάλλευσης για την εγκατάσταση του λογισμικού κατασκοπείας
Predator
της Cytrox.
Μεταξύ Μαΐου και Σεπτεμβρίου 2023, οι επιτιθέμενοι εκμεταλλεύτηκαν τα σφάλματα (CVE-2023-41991, CVE-2023-41992 και CVE-2023-41993) σε επιθέσεις χρησιμοποιώντας μηνύματα δόλωμα SMS και WhatsApp για να στοχεύσουν τον πρώην Αιγύπτιο βουλευτή Ahmed Eltantawy μετά την ανακοίνωση σχεδίων συμμετάσχει στις προεδρικές εκλογές της Αιγύπτου το
2024
.
“Τον Αύγουστο και τον Σεπτέμβριο του 2023, η κινητή σύνδεση Vodafone Egypt της Eltantawy επιλέχθηκε επίμονα για στόχευση μέσω ένεσης δικτύου.”
Το Citizen Lab εξήγησε
.
“Όταν ο Eltantawy επισκέφτηκε ορισμένους ιστότοπους που δεν χρησιμοποιούν HTTPS, μια συσκευή που ήταν εγκατεστημένη στα σύνορα του δικτύου της Vodafone Egypt τον ανακατεύθυνε αυτόματα σε έναν κακόβουλο ιστότοπο για να μολύνει το τηλέφωνό του με το λογισμικό κατασκοπείας Predator της Cytrox.”
Σε συσκευές iOS, η εκμετάλλευση zero-day των εισβολέων χρησιμοποίησε το CVE-2023-41993 για την αρχική απομακρυσμένη εκτέλεση κώδικα (RCE) στο Safari χρησιμοποιώντας κακόβουλα δημιουργημένες ιστοσελίδες, το σφάλμα CVE-2023-41991 για παράκαμψη επικύρωσης υπογραφής και το CVE-2023- 41992 για κλιμάκωση δικαιωμάτων πυρήνα.
Η αλυσίδα εκμετάλλευσης ενεργοποιήθηκε αυτόματα μετά την ανακατεύθυνση, αναπτύσσοντας και εκτελώντας ένα κακόβουλο δυαδικό αρχείο που έχει σχεδιαστεί για να επιλέγει εάν το εμφύτευμα spyware θα πρέπει να εγκατασταθεί στη συσκευή που έχει παραβιαστεί.
Το Chrome zero-day χρησιμοποιείται επίσης για την εγκατάσταση spyware
Το Google TAG παρατήρησε επίσης τους εισβολείς που χρησιμοποιούσαν μια ξεχωριστή αλυσίδα εκμετάλλευσης για να απορρίψουν το λογισμικό κατασκοπείας Predator σε συσκευές
Android
στην Αίγυπτο, εκμεταλλευόμενοι
CVE-2023-4762
—ένα σφάλμα του Chrome επιδιορθώθηκε στις 5 Σεπτεμβρίου—ως ημέρα μηδέν για την απόκτηση απομακρυσμένης εκτέλεσης κώδικα.
“Αυτό το σφάλμα είχε ήδη αναφερθεί ξεχωριστά στο Πρόγραμμα επιβράβευσης ευπάθειας του Chrome από έναν ερευνητή ασφαλείας και επιδιορθώθηκε στις 5 Σεπτεμβρίου. Εκτιμούμε ότι η Intellexa χρησιμοποιούσε και στο παρελθόν αυτήν την ευπάθεια ως 0-ημέρα.”
είπε η Maddie Stone του Google TAG
.
επιβεβαιώθηκε σήμερα
ότι η λειτουργία κλειδώματος iOS θα είχε μπλοκάρει την επίθεση.
Το Citizen Lab προέτρεψε όλους τους χρήστες της Apple που κινδυνεύουν να εγκαταστήσουν τις ενημερώσεις ασφαλείας έκτακτης ανάγκης της Apple και να ενεργοποιήσουν τη λειτουργία Lockdown για να αποτρέψουν πιθανές επιθέσεις που εκμεταλλεύονται αυτήν την αλυσίδα εκμετάλλευσης.
«Δεδομένου ότι η Αίγυπτος είναι γνωστός πελάτης του λογισμικού κατασκοπείας Predator της Cytrox και το λογισμικό υποκλοπής παραδόθηκε μέσω έγχυσης δικτύου από μια συσκευή που βρίσκεται φυσικά εντός της Αιγύπτου, αποδίδουμε την επίθεση έγχυσης δικτύου στην αιγυπτιακή κυβέρνηση με μεγάλη εμπιστοσύνη», πρόσθεσε το Citizen Lab.
Οι ερευνητές ασφαλείας του Citizen Lab αποκάλυψαν δύο άλλες μηδενικές ημέρες (CVE-2023-41061 και CVE-2023-41064)—που επιδιορθώθηκαν από την Apple σε ενημερώσεις ασφαλείας έκτακτης ανάγκης νωρίτερα αυτόν τον μήνα—που καταχράστηκαν ως μέρος μιας άλλης αλυσίδας εκμετάλλευσης μηδενικού κλικ (με την ονομασία BLASTPASS) σε μολύνουν πλήρως επιδιορθωμένα iPhone με το λογισμικό κατασκοπείας Pegasus της NSO Group.
16 μηδέν ημέρες της Apple αξιοποιήθηκαν σε επιθέσεις φέτος
Η Apple διόρθωσε τις τρεις ημέρες μηδέν την Πέμπτη στο iOS 16.7 και 17.0.1 αντιμετωπίζοντας ένα πρόβλημα επικύρωσης πιστοποιητικού και μέσω βελτιωμένων ελέγχων.
Η πλήρης λίστα των επηρεαζόμενων συσκευών περιλαμβάνει ένα ευρύ φάσμα παλαιότερων και νεότερων μοντέλων συσκευών:
-
iPhone 8
και μεταγενέστερα - iPad mini 5ης γενιάς και μεταγενέστερη
-
Mac που τρέχουν
macOS
Monterey και νεότερα - Apple Watch Series 4 και νεότερη έκδοση
Από τον Ιανουάριο του 2023, η Apple έχει αντιμετωπίσει συνολικά 16 zero-days που εκμεταλλεύονται σε επιθέσεις που στοχεύουν τους πελάτες της, συμπεριλαμβανομένων:
