استقرار جاسوس‌افزار Predator از طریق Zero-Day و حملات MitM در دستگاه‌های اندروید و iOS

حفره امنیتی خطرناک در نرم افزارهای پرطرفدار Adobe Reader و Adobe Acrobat؛ همین حالا آپدیت کنید

اخبار

استقرار جاسوس‌افزار Predator از طریق Zero-Day و حملات MitM در دستگاه‌های اندروید و iOS

استقرار جاسوس‌افزار Predator از طریق Zero-Day و حملات MitM در دستگاه‌های اندروید و iOS

نرم‌افزار جاسوسی Predator با استفاده از آسیب‌پذیری‌های روز صفر (zero-day) در iOS و Chrome و حملات MitM، به آیفون‌ها و دستگاه‌های اندرویدی نفوذ می‌نماید.

به گزارش گروه تحلیل تهدیدات گوگل، نرم‌افزار جاسوسی Predator با استفاده از آسیب‌پذیری‌های روز صفر iOS و کروم و حملات مرد میانی یا Man-in-the-middle (MitM) به آیفون‌ها و دستگاه‌های اندرویدی نفوذ می‌کند.

اپل هفته گذشته مشتریان خود را در مورد در دسترس بودن سه پچ روز صفر با عناوین CVE-2023-41991 (دور زدن تایید سیگنچر)، CVE-2023-41992 (افزایش اختیار محلی) و CVE-2023-41993 (اجرای خودسرانه کد با صفحه وب مخرب) مطلع کرد.

اپل این آسیب‌پذیری‌ها را در iOS، macOS و سایر نرم‌افزارها برطرف کرد، اما همچنین خاطرنشان کرد که تنها از بهره‌برداری در هدفگیری دستگاه‌هایی که نسخه‌های iOS قبل از نسخه 16.7 دارند، آگاه است.

گروه Citizen Lab دانشگاه تورنتو و گروه تحلیل تهدید گوگل، که گزارش آسیب‌پذیری‌های اپل را تایید نمودند، فاش کردند که این نقص‌ها در حمله‌ای که احمد آلتنتاوی، سیاستمدار برجسته اپوزیسیون مصر را هدف قرار داد، مورد بهره‌برداری قرار‌گرفته است.

نکته جالب در مورد این اکسپلویت این است که از طریق یک حمله MitM که معمولا توسط عوامل تهدید با منابع زیادی مانند گروه‌های تحت حمایت دولت راه‌اندازی می‌شود، به‌کار گرفته شد.

در این مورد خاص، Citizen Lab توضیح داد، زمانی که التنتاوی از طریق اتصال داده تلفن همراه Vodafone مصر از وب‌سایت‌های خاصی بازدید می‌کرد، به سایتی هدایت می‌شد که برای سرویس‌دهی به نرم‌افزار جاسوسی Predator تنظیم شده بود، که به دو نهاد مرتبط به نام‌های Cytrox و Intellexa نسبت داده شده است. سیتروکس به خاطر ایمپلنت‌های سطح بالای آیفون خود شناخته شده است.

این قانونگذار مصری تنها در هنگام بازدید از وب‌سایت‌هایی که از HTTP به‌جای HTTPS استفاده می‌کردند، به سایت‌هایی هدایت شد که به نرم‌افزار‌های جاسوسی سرویس می‌دهند. این امر، به مهاجم اجازه می‌دهد تا ترافیک قربانی را رهگیری کند و مجبور به تغییر مسیر به وب‌سایت مخرب شود.

گوگل توضیح داد: "در حالی که بر آسیب‌پذیری‌های «0-click» (باگ‌هایی که نیازی به تعامل کاربر ندارند) توجه ویژه‌ای وجود دارد، این استقرار MITM همچنین نیازی به باز کردن هیچ فایلی، کلیک روی لینک خاص یا پاسخ به تماس‌های تلفنی از سوی کاربر نداشته است".

برای رژیم‌های توتالی‌تر و خودکامه، نظارت و دستکاری ترافیک در سطح ISP با استفاده از باکس‌های میانی مدیریت ترافیک، امری غیرعادی نیست.

در این مورد، مجموعه Citizen Lab گفت که مهاجم از یک باکس میانی تزریقی استفاده کرده است، اما این شرکت قادر به تشخیص اینکه آیا باکس میانی در Telecom Egypt یا شبکه Vodafone مصر مستقر بوده، نمی‌باشد.

مجموعه Citizen Lab گفت: "با این حال، ما گمان می‌کنیم که در شبکه Vodafone مصر باشد، زیرا هدف قرار دادن دقیق تزریق به یک مشترک وودافون به یکپارچگی با پایگاه داده مشترک Vodafone نیاز دارد".

در ادامه، Citizen Lab خاطرنشان کرد که مصر یکی از مشتریان شناخته شده نرم‌افزار‌های جاسوسی Predator است، به این معنی که بسیار بعید است که عملیات هدف قرار دادن رهبر مخالفان بدون اطلاع مقامات مصری انجام شده باشد.

گوگل همچنین گزارش داد که یک زنجیره اکسپلویت را مشاهده کرده است که برای نصب نرم‌افزار جاسوسی Predator بر روی دستگاه‌های اندرویدی در مصر طراحی شده است. محققان آن قادر به شناسایی همه آسیب‌پذیری‌های دخیل در این زنجیره نبودند، اما تایید کردند که از CVE-2023-4762 برای اجرای کد از راه دور استفاده می‌شود.

نقص CVE-2023-4762، یک آسیب‌پذیری کروم است که توسط گوگل با بروزرسانی منتشر شده در اوایل سپتامبر اصلاح شد. در آن زمان، این شرکت از بهره‌برداری از آن در فضای سایبری آگاه نبود، اما معتقد است که این آسیب‌پذیری به‌عنوان یک آسیب‌پذیری روز صفر قبل از انتشار پچ، مورد سواستفاده قرار‌گرفته است.

زنجیره بهره‌برداری اندروید نه‌تنها از طریق حملات MitM، بلکه از طریق لینک‌های مخربی که مستقیما به قربانی در قالب پیام‌های SMS و WhatsApp ارسال می‌شد، تحویل داده می‌شد.

علاوه بر اصلاح این آسیب‌پذیری، گوگل اشاره کرد که مرورگر کروم دارای ویژگی به نام HTTP-First mode است که سعی می‌کند به طور خودکار صفحات وب را به HTTPS ارتقا دهد.

 

 

 

 

 

 

 

 

 

 

 

 



نظرات کاربران
ارسال نظر