Se ha encontrado un grupo de piratas informáticos chinos que aprovecha una nueva cadena de exploits en dispositivos iOS para instalar un implante de spyware dirigido a la minoría musulmana uigur en la región autónoma china de Xinjiang.
Los hallazgos, publicados por la firma forense digital Volexity , revelan que el exploit, llamado «Insomnia», funciona contra las versiones de iOS 12.3, 12.3.1 y 12.3.2 usando una falla en WebKit que Apple corrigió con el lanzamiento de iOS 12.4 en julio de 2019.
Volexity dijo que los ataques fueron llevados a cabo por un grupo de piratería patrocinado por el estado al que llama Evil Eye , el mismo actor de amenazas que dijo que estaba detrás de una serie de ataques contra los uigures en septiembre pasado tras una revelación del equipo del Proyecto Cero de Google .
China ha considerado durante mucho tiempo a Xinjiang un caldo de cultivo para » separatistas, terroristas y extremistas religiosos «, con los residentes de la región, étnicamente musulmanes turcos, arrojados a campos de concentración y sometidos a persecución y vigilancia de alta tecnología .
Ataques de abrevaderos dirigidos a sitios web uigures
La campaña de malware previamente explotó hasta 14 vulnerabilidades que abarcan desde iOS 10 hasta iOS 12 durante un período de al menos dos años a través de una pequeña colección de sitios web maliciosos que se utilizaron como un abrevadero para piratear los dispositivos.
Según Volexity, Insomnia se cargó en los dispositivos iOS de los usuarios utilizando la misma táctica, otorgando a los atacantes acceso a la raíz, lo que les permite robar información de contacto y ubicación, y apuntar a varios clientes de mensajería instantánea y correo electrónico, incluidos Signal, WeChat y ProtonMail.
En su informe, la compañía dijo que después de la exposición del año pasado, el actor de Evil Eye eliminó el código malicioso de los sitios web comprometidos y eliminó su infraestructura de servidor de comando y control (C2), hasta que comenzó a observar «nueva actividad en múltiples sitios web uigures previamente comprometidos «a partir de enero de 2020.
Vale la pena señalar que el motor de navegador de código abierto WebKit es la base para Safari y otros navegadores web de terceros en iOS como Google Chrome y Firefox debido a las restricciones impuestas por la aplicación de Apple Directrices de revisión de la tienda (Sección 2.5.6).
«Volexity pudo confirmar la explotación exitosa de un teléfono con 12.3.1 a través de los navegadores móviles Apple Safari, Google Chrome y Microsoft Edge», dijo el equipo de investigación.
Los nuevos ataques a los pozos de agua comprometieron seis sitios web diferentes (por ejemplo, el sitio web de la Academia Uyghur o akademiye [.] Org) que, cuando se visitaron, cargaron el implante Insomnia en el dispositivo.
El Spyware ahora apunta a ProtonMail y Signal
En cuanto al Spyware, parece ser una versión actualizada del implante detallado por el grupo de seguridad Project Zero de Google, pero con soporte para la comunicación HTTPS y capacidades adicionales para transmitir información sobre cada aplicación que está instalada en el dispositivo, así como para extraer algunos datos de aplicaciones seguras de correo electrónico y mensajería como ProtonMail y Signal.
Cabe señalar que el malware en sí mismo no permite a los atacantes leer el contenido de los mensajes cifrados recibidos a través de ProtonMail o Signal; en su lugar, roba archivos adjuntos una vez guardados en el almacenamiento del dispositivo.
Un portavoz de ProtonMail confirmó a The Hacker News que su aplicación iOS no almacena correos electrónicos descifrados en el almacenamiento del dispositivo; en cambio, cuando un usuario abre un correo electrónico, se descifra y solo se almacena en la memoria por el breve tiempo que el usuario tiene abierta la pantalla de mensajes.
‘Dicho esto, es importante recordar que una vez que un dispositivo se ve comprometido, se vuelve cada vez más difícil proteger los datos almacenados localmente. Es por eso que recomendamos que los usuarios activen la protección PIN / TouchID / FaceID en la Configuración de la aplicación ProtonMail. Esto agrega un importante nivel adicional de protección ‘, dijo el servicio de correo electrónico cifrado de extremo a extremo.
«Como se señaló en septiembre de 2019, Volexity sospechaba que los atacantes de Evil Eye también habían atacado iPhones en función de que los servidores C2 de los atacantes se desconectaran poco después de que se hicieran públicos los hallazgos del Proyecto Cero», concluyeron los investigadores.
«Estos hallazgos más recientes confirman la sospecha de que los atacantes eran probablemente los mismos. Ahora se puede confirmar que en los últimos seis meses, los sitios uigures han generado malware para todas las plataformas principales, lo que representa un desarrollo considerable y un esfuerzo de mantenimiento por parte de los atacantes. espiar a la población uigur «.
«Volexity también señaló que el malware no tiene un mecanismo de persistencia. Esto indica que los atacantes deben trabajar rápidamente para obtener los datos que desean de un dispositivo antes de que se reinicie.
Fuente: https://thehackernews.com/2020/04/iphone-zero-day-exploit.html
