نرمافزار جاسوسی Predator با استفاده از آسیبپذیریهای روز صفر (zero-day) در iOS و Chrome و حملات MitM، به آیفونها و دستگاههای اندرویدی نفوذ مینماید.
به گزارش گروه تحلیل تهدیدات گوگل، نرمافزار جاسوسی Predator با استفاده از آسیبپذیریهای روز صفر iOS و کروم و حملات مرد میانی یا Man-in-the-middle (MitM) به آیفونها و دستگاههای اندرویدی نفوذ میکند.
اپل هفته گذشته مشتریان خود را در مورد در دسترس بودن سه پچ روز صفر با عناوین CVE-2023-41991 (دور زدن تایید سیگنچر)، CVE-2023-41992 (افزایش اختیار محلی) و CVE-2023-41993 (اجرای خودسرانه کد با صفحه وب مخرب) مطلع کرد.
اپل این آسیبپذیریها را در iOS، macOS و سایر نرمافزارها برطرف کرد، اما همچنین خاطرنشان کرد که تنها از بهرهبرداری در هدفگیری دستگاههایی که نسخههای iOS قبل از نسخه 16.7 دارند، آگاه است.
گروه Citizen Lab دانشگاه تورنتو و گروه تحلیل تهدید گوگل، که گزارش آسیبپذیریهای اپل را تایید نمودند، فاش کردند که این نقصها در حملهای که احمد آلتنتاوی، سیاستمدار برجسته اپوزیسیون مصر را هدف قرار داد، مورد بهرهبرداری قرارگرفته است.
نکته جالب در مورد این اکسپلویت این است که از طریق یک حمله MitM که معمولا توسط عوامل تهدید با منابع زیادی مانند گروههای تحت حمایت دولت راهاندازی میشود، بهکار گرفته شد.
در این مورد خاص، Citizen Lab توضیح داد، زمانی که التنتاوی از طریق اتصال داده تلفن همراه Vodafone مصر از وبسایتهای خاصی بازدید میکرد، به سایتی هدایت میشد که برای سرویسدهی به نرمافزار جاسوسی Predator تنظیم شده بود، که به دو نهاد مرتبط به نامهای Cytrox و Intellexa نسبت داده شده است. سیتروکس به خاطر ایمپلنتهای سطح بالای آیفون خود شناخته شده است.
این قانونگذار مصری تنها در هنگام بازدید از وبسایتهایی که از HTTP بهجای HTTPS استفاده میکردند، به سایتهایی هدایت شد که به نرمافزارهای جاسوسی سرویس میدهند. این امر، به مهاجم اجازه میدهد تا ترافیک قربانی را رهگیری کند و مجبور به تغییر مسیر به وبسایت مخرب شود.
گوگل توضیح داد: "در حالی که بر آسیبپذیریهای «0-click» (باگهایی که نیازی به تعامل کاربر ندارند) توجه ویژهای وجود دارد، این استقرار MITM همچنین نیازی به باز کردن هیچ فایلی، کلیک روی لینک خاص یا پاسخ به تماسهای تلفنی از سوی کاربر نداشته است".
برای رژیمهای توتالیتر و خودکامه، نظارت و دستکاری ترافیک در سطح ISP با استفاده از باکسهای میانی مدیریت ترافیک، امری غیرعادی نیست.
در این مورد، مجموعه Citizen Lab گفت که مهاجم از یک باکس میانی تزریقی استفاده کرده است، اما این شرکت قادر به تشخیص اینکه آیا باکس میانی در Telecom Egypt یا شبکه Vodafone مصر مستقر بوده، نمیباشد.
مجموعه Citizen Lab گفت: "با این حال، ما گمان میکنیم که در شبکه Vodafone مصر باشد، زیرا هدف قرار دادن دقیق تزریق به یک مشترک وودافون به یکپارچگی با پایگاه داده مشترک Vodafone نیاز دارد".
در ادامه، Citizen Lab خاطرنشان کرد که مصر یکی از مشتریان شناخته شده نرمافزارهای جاسوسی Predator است، به این معنی که بسیار بعید است که عملیات هدف قرار دادن رهبر مخالفان بدون اطلاع مقامات مصری انجام شده باشد.
گوگل همچنین گزارش داد که یک زنجیره اکسپلویت را مشاهده کرده است که برای نصب نرمافزار جاسوسی Predator بر روی دستگاههای اندرویدی در مصر طراحی شده است. محققان آن قادر به شناسایی همه آسیبپذیریهای دخیل در این زنجیره نبودند، اما تایید کردند که از CVE-2023-4762 برای اجرای کد از راه دور استفاده میشود.
نقص CVE-2023-4762، یک آسیبپذیری کروم است که توسط گوگل با بروزرسانی منتشر شده در اوایل سپتامبر اصلاح شد. در آن زمان، این شرکت از بهرهبرداری از آن در فضای سایبری آگاه نبود، اما معتقد است که این آسیبپذیری بهعنوان یک آسیبپذیری روز صفر قبل از انتشار پچ، مورد سواستفاده قرارگرفته است.
زنجیره بهرهبرداری اندروید نهتنها از طریق حملات MitM، بلکه از طریق لینکهای مخربی که مستقیما به قربانی در قالب پیامهای SMS و WhatsApp ارسال میشد، تحویل داده میشد.
علاوه بر اصلاح این آسیبپذیری، گوگل اشاره کرد که مرورگر کروم دارای ویژگی به نام HTTP-First mode است که سعی میکند به طور خودکار صفحات وب را به HTTPS ارتقا دهد.