Szerző: Hlács Ferenc

2019. szeptember 2. 14:00

Kína állhat a kritikus iOS exploitokat kihasználó weblapok mögött

A két éve tartó támadáskampány az iOS sérülékenységek kihasználásán túl Android és Windows platformokat is célba vett, és az ügyhöz közel álló források szerint a kínai ujgur közösség megfigyelését célozta.

Célzott támadáskampányhoz vetették be a Google Project Zero csapata által nemrég felfedezett iOS exploit láncokat - számolt be nevük elhallgatását kérő forrásaira hivatkozva a TechCrunch és a Forbes. A lapok szerint az akció mögött kínai kormányzati szervek állnak, amelyek az ujgur muszlim közösség tagjait figyelték meg a módszerrel, ráadásul az iOS mellett Android és Windows platformon is alkalmaztak hasonló eljárásokat.

A Google a napokban számolt be a súlyos sebezhetőségekről, amelyeket a Project Zero TAG (Threat Analysis Group) csoportja fedezett fel - a sérülékenységeket a bejelentéskor ismeretlen támadók rosszindulatú weboldalakon már jó ideje aktívan kihasználták, az iOS-t futtató eszközök felhasználói ellen. Az újonnan felfedezett iOS zero-day sebezhetőségeknek hála elég volt egyszerűen ellátogatni a támadók által preparált weblapra, hogy azok szerverei egy megfigyelő komponenst ágyazhassanak a gyanútlan felhasználó készülékére. A Google szerint a szóban forgó kártékony weboldalak heti több ezres látogatószámot tudhattak magukénak.

iphill

A TAG összesen öt különálló iOS-es exploit láncot talált, amelyekkel az elkövetők iOS 10-től a legfrissebb iOS 12 kiadásig minden rendszerverziót ostrom alá vettek. A kiterjedt elérés arra utal, hogy a rosszindulatú oldalak üzemeltetői már legalább két éve aktívan folytatták tevékenységüket, a felületeket mindig az új verziók sérülékenységeinek kihasználásához is folyamatosan igazítva. Az exploit láncok a szakértők szerint összesen tizennégy sebezhetőséget tartalmaztak, ebből hét a Safari böngészőben, öt az iOS kernelében gyökerezett, illetve két önálló, a biztonsági sandboxok elhagyását lehetővé tevő hibát is használtak a támadók. Az első elemzések szerint legalább az egyik, jogosultságemelés előtt utat nyitó lánc még zero-day sebezhetőségnek számított, és felfedezésekor sem volt hozzá semmilyen patch.

A sérülékenységek láncolatait kihasználva az elkövetők root jogosultságokat szerezhettek a készülékeken, ami egyebek mellett a tárolt érzékeny adatok, jelszavak megszerzésére, és további kártékony appok telepítésére is lehetőséget adott nekik. A Project Zero elemzése szerint a támadók az ismert esetekben leginkább a felhasználók fényképeinek és üzeneteinek begyűjtésére, valamint földrajzi pozíciójuk követésére használták az exploit láncokat - közel valós időben.

A problémát a Google rögtön jelezte az Apple felé, a foltozatlan hibák esetében pedig azok súlyosságára való tekintettel a megszokottnál jóval rövidebb, hét napos javítási határidőt adott azok javítására. A cupertinói cég ezeket tempósan orvosolta is a február 7-én kiadott iOS 12.1.4-es soron kívüli frissítéssel. Ezzel együtt a kutatók nem tartják kizártnak, hogy az elkövetők más rosszindulatú kampányokat is folytatnak az iOS-es eszközöket célozva. Az ismert öt exploit lánc részletes elemzését a vállalat kapcsolódó blogposztjában is közzétette. A fentiek fényében egyáltalán nem csoda, hogy az Apple nemrég maga is elérkezettnek látta ráncba szedni bugvadász programját, amelyben a jutalmakat is megemelte.

Éveken át tartó, célzott támadáskampány

A Techcrunch birtokába jutott információk szerint a kritikus sebezhetőségekkel az érintett weboldalak célzottan az ujgur muszlimokat vették célba Hszincsiang tartományban - az akció hátterében pedig kínai kormányzati szervek állnak. Az értesüléseket a Forbes is megerősítette, hozzátéve, hogy a támadások nem korlátozódtak az Apple platformjára, azok androidos telefonokat és Windowst futtató PC-ket is célba vettek, ráadásul ugyanazokon a rosszindulatú weboldalakon keresztül.

Mindent vivő munkahelyek

Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Mindent vivő munkahelyek Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

A lapok forrásai a windowsos és androidos sebezhetőségek technikai részleteire nem tértek ki, így egyelőre az sem ismert, azok pontosan milyen mértékben engedtek hozzáférést a támadóknak a rendszerekhez. Azt viszont a névtelenül nyilatkozó források megerősítették, hogy a támadás a Google által véltnél jóval kiterjedtebb volt, és kifejezetten az ujgur közösséget vette célba. Az új fejleményekkel kapcsolatban, beleértve a saját platformját célzó támadásokat is, a Google egyelőre nem nyilatkozott, noha a források szerint a rosszindulatú oldalak vizsgálatakor a keresőóriás csak az iOS sérülékenységek kiszolgálására utaló jeleket talált.

A Forbesnak nyilatkozva a Microsoft is arról beszélt, a Google Project Zero kifejezetten iOS exploitokat talált az oldalakat elemezve, a redmondi cég felé nem jelzett semmilyen, a Windowst érintő hibát - a vállalat mindenesetre maga is vizsgálatot indított az ügyben. Azt egyelőre egyik érintett fél sem árulta el, hogy pontosan melyek a szóban forgó kártékony webolalak. Jelen állás szerint tehát jó eséllyel, egy az ujgur közösséget célzó tömeges megfigyelési kampányról van szó, mintegy "nem hivatalos kiegészítésként" a régióban nagy számban telepített, arcfelismeréssel is szerelt térfigyelő kamerák mellé. Az EFF szakértője, Cooper Quintin szerint az akció ráadásul nem csak a Hszincsiang tartománybeli, de a diaszpórában élő ujgurokra is kiterjedt.

a címlapról