#Sựkiệnngàyhômni:
Khám phá sự truy cập bằng Zero-Day iOS nhiễm Spyware Predator trên các thiết bị
Những kết quả chính:
– Ahmed Eltantawy, cựu nghị viên và ứng cử viên Tổng thống Ai Cập, đã bị mục tiêu của Predator spyware của Cytrox sau khi công bố ý định của mình để tranh cử tổng thống.
– Spyware đã được gửi qua SMS, tin nhắn WhatsApp và cuộc tấn công bằng tiêm chính mạng, nhấn mạnh các chiến thuật tiên tiến được sử dụng nhằm vào Eltantawy.
– Các nhà nghiên cứu đã thu thập một sự tấn công zero-day exploit dành cho iPhone để cài đặt Predator trên các thiết bị iOS, ảnh hưởng đến phiên bản thông qua 16.6.1.
– Cuộc tấn công tiêm chính mạng được cho là sử dụng với sự chắc chắn cao từ Chính phủ Ai Cập, vì nó bắt nguồn từ một thiết bị vật lý được đặt tại Ai Cập.
– Vụ việc này đặt ra lo ngại về việc thiếu kiểm soát trong việc xuất khẩu các công nghệ spyware và nhấn mạnh tầm quan trọng của cập nhật bảo mật và chế độ khóa trên các thiết bị Apple.
Trích dẫn từ cuộc điều tra gần đây của Citizen Lab, những phát hiện đáng báo động tiết lộ rằng cựu nghị viên Ai Cập, Ahmed Eltantawy, đã trở thành nạn nhân của một chiến dịch gián điệp mạng phức tạp sử dụng Predator spyware của Cytrox.
Mục tiêu này diễn ra từ tháng 5 đến tháng 9 năm 2023, ngay sau khi Eltantawy công khai thông báo ý định tranh cử Tổng thống trong cuộc bầu cử Ai Cập năm 2024.
Đáng chú ý là Predator spyware của Cytrox ban đầu được khám phá là tấn công vào các thiết bị Android vào tháng 5 năm 2022. Tuy nhiên, vào tháng 8 năm 2022, Citizen Lab đã chỉ ra một mối liên hệ giữa spyware và nhà cung cấp spyware châu Âu, Intellexa Alliance. Lúc đó, spyware được sử dụng để tấn công một nhà lập pháp ở Hy Lạp, và thú vị là cùng một công ty đã gây chú ý vào tháng 11 năm 2019 khi các cơ quan Cộng hòa Síp tịch thu một chiếc xe tuần tra thuộc sở hữu của Intellexa. Chiếc xe tuần tra này được trang bị các công cụ hack có khả năng khám phá, bẻ khóa và theo dõi điện thoại thông minh.
Chiến dịch chống lại Eltantawy sử dụng các chiến thuật khác nhau, bao gồm tin nhắn SMS và WhatsApp chứa các liên kết độc hại. Hơn nữa, kết nối di động của Eltantawy với Vodafone Ai Cập đã liên tục được chọn để bị tấn công thông qua tiêm chính mạng. Khi Eltantawy truy cập vào các trang web không sử dụng giao thức HTTPS, một thiết bị trong mạng Vodafone Ai Cập sẽ tự động chuyển hướng anh ta đến một trang web độc hại để lây nhiễm Predator spyware của Cytrox vào điện thoại của mình.
Cuộc điều tra của Citizen Lab đã phát hiện một chuỗi lỗ hổng zero-day dành cho iPhone được thiết kế để cài đặt Predator trên các phiên bản iOS thông qua 16.6.1. Họ cũng thu được giai đoạn đầu tiên của spyware, có những điểm tương đồng đáng kể với mẫu Predator spyware của Cytrox thu được năm 2021. Với sự tự tin cao, Citizen Lab liên kết spyware với Predator spyware của Cytrox. Vì mối quan hệ đã biết của Cytrox với Chính phủ Ai Cập, người sử dụng Predator spyware, và thông tin rằng spyware được gửi qua tiêm chính mạng từ một thiết bị vật lý nằm tại Ai Cập, Citizen Lab tự tin gán sự tấn công tiêm chính mạng cho Chính phủ Ai Cập.
Đây không phải lần đầu Eltantawy bị nhắm mục tiêu. Vào tháng 11 năm 2021, điện thoại của anh ta đã bị nhiễm Predator spyware của Cytrox thông qua một tin nhắn chứa liên kết đến trang web Predator.
Những phát hiện này đặt ra mối lo ngại nghiêm trọng về việc sử dụng spyware để tấn công các nhân vật phản đối trong quá trình dân chủ. Vụ việc của Ahmed Eltantawy nhấn mạnh sự cần thiết của các biện pháp bảo mật mạnh mẽ và nhận thức cũng như nguy cơ tiềm ẩn trong các cuộc tranh cử.
Apple phát hành cập nhật khẩn cấp sau khi Citizen Lab tiết lộ
Đáp lại các phát hiện của Citizen Lab, Apple đã phát hành ba cập nhật khẩn cấp dành cho iOS, iPadOS và macOS Ventura. Các cập nhật giải quyết các lỗ hổng sau:
– Lỗ hổng WebKit cho phép thực thi mã từ xa
– Lỗ hổng trong CoreCapture cho phép tiến trình trái quyền tham gia
– Lỗ hổng trong libxpc cho phép gián điệp leo thang đặc quyền.
Apple cũng chấp nhận các phát hiện của các nhà nghiên cứu và tuyên bố rằng công ty đã biết đến các báo cáo cho thấy vấn đề này có thể đã được khai thác một cách tích cực trong các phiên bản iOS trước iOS 16.7.
Trên vấn đề này, Tiến sỹ Klaus Schenk, Phó chủ tịch phụ trách nghiên cứu an ninh và mối đe dọa tại Verimatrix, cho biết: “Những lỗ hổng được phát hiện trên các nền tảng của Apple là đáng lo ngại cao do tiềm năng tác động của chúng. Leo thang đặc quyền, thực thi mã tùy ý và đặc biệt là thực thi mã tùy ý từ xa được xếp hạng trong những vấn đề nguy hiểm nhất đối với bất kỳ hệ thống tính toán nào.”
Tiến sỹ Klaus nhấn mạnh rằng “Điều đáng lo ngại là Apple chưa tiết lộ chi tiết kỹ thuật của các vector tấn công. Việc giữ thông tin riêng tư này giảm đáng kể nguy cơ tổng phổ lớn, vì các nhà mối đe dọa có ít thông tin để phát triển các cuộc tấn công hiệu quả. Để thực hiện việc thực thi mã từ xa, người dùng cần truy cập vào một trang web được tạo riêng để tận dụng các lỗ hổng này và phân phối mã độc. Với thông tin chưa được tiết lộ, số lượng trang web hiện nay có khả năng tiến hành cuộc tấn công như vậy khá thấp.”
“Với điều đó, khách hàng của Apple nên ngay lập tức cài đặt các bản cập nhật bảo mật khẩn cấp này để bảo vệ mình khỏi nguy cơ bị tấn công mục tiêu. Việc cập nhật đúng hạn là quan trọng, vì các nhà mối đe dọa cuối cùng sẽ đảo ngược kỹ thuật sửa lỗi để hiểu các lỗ hổng cơ bản. Bằng cách cập nhật kịp thời, người dùng đảm bảo thiết bị của mình không thể bị tấn công bằng các cuộc tấn công lợi dụng các lỗ hổng zero-day cụ thể này”, ông lưu ý.
“Trong tương lai, cần thiết phải tiếp tục công việc chăm chỉ của Apple để xác định và khắc phục các vấn đề bảo mật trong phần mềm của họ trước khi chúng có thể được sử dụng nhằm tấn công người dùng”, ông khuyến nghị.
Đây là lần thứ hai trong vòng một tháng mà Citizen Lab phát hiện một chiến dịch spyware phức tạp nhắm vào các thiết bị Apple. Vào ngày 7 tháng 9 năm 2023, Apple đã phát hành một bản cập nhật bảo mật quan trọng để khắc phục lỗ hổng zero-click đang tiếp tục cung cấp spyware Pegasus của NSO Group vào các thiết bị iPhone. Những phát hiện này ban đầu được báo cáo bởi Citizen Lab, người phân loại cuộc tấn công là một hoạt động BLASTPASS.
Kết luận
Các phát hiện của Citizen Lab cũng đưa ra những ánh sáng về tầm quan trọng của việc duy trì phần mềm cập nhật và kích hoạt các tính năng bảo mật như chế độ khóa trên các thiết bị Apple. Họ nhấn mạnh vai trò qu
Nguồn: https://www.hackread.com/zero-day-ios-exploit-chain-predator-spyware/
Key Findings
- Ahmed Eltantawy, a former Egyptian MP and presidential candidate, was targeted with Cytrox’s Predator spyware after announcing his bid for the presidency.
- The spyware was delivered through SMS, WhatsApp messages, and network injection attacks, highlighting the advanced tactics used against Eltantawy.
- Researchers obtained an iPhone zero-day exploit chain used to install Predator on iOS devices, affecting versions through 16.6.1.
- The network injection attack was attributed with high confidence to the Egyptian government, as it originated from a device physically located within Egypt.
- This case raises concerns about the lack of controls on the export of spyware technologies and underscores the importance of security updates and lockdown modes on Apple devices.
In a recent investigation by Citizen Lab, alarming findings reveal that former Egyptian Member of Parliament, Ahmed Eltantawy, was the victim of a sophisticated cyber espionage campaign that leveraged Cytrox’s Predator spyware.
This targeting occurred between May and September 2023, shortly after Eltantawy publicly announced his intention to run for President in the 2024 Egyptian elections.
Here, it is worth noting that Cytrox’s Predator spyware was initially discovered targeting Android devices in May 2022. However, in August 2022, Citizen Lab pointed out a connection between the spyware and the European spyware vendor, Intellexa Alliance.
At that time, the spyware was used to target a lawmaker in Greece, and interestingly, the same firm had previously made headlines in November 2019 when Cypriot authorities seized a surveillance van belonging to Intellexa. This surveillance van was equipped with hacking tools capable of intercepting, cracking, and tracking smartphones.
The campaign against Eltantawy utilized various tactics, including SMS and WhatsApp messages containing malicious links. Moreover, Eltantawy’s mobile connection with Vodafone Egypt was persistently selected for targeting via network injection.
When Eltantawy visited non-HTTPS websites, a device within Vodafone Egypt’s network automatically redirected him to a malicious website to infect his phone with Cytrox’s Predator spyware.
Citizen Lab’s investigation uncovered an iPhone zero-day exploit chain designed to install Predator on iOS versions through 16.6.1. They also obtained the first stage of the spyware, which shared notable similarities with a sample of Cytrox’s Predator spyware obtained in 2021. With high confidence, Citizen Lab attributes the spyware to Cytrox’s Predator spyware.
Given Cytrox’s known association with the Egyptian government, which is a customer of the Predator spyware, and the fact that the spyware was delivered via network injection from a device physically located within Egypt, Citizen Lab confidently attributes the network injection attack to the Egyptian government.
This isn’t the first time Eltantawy has been targeted. In November 2021, his phone was infected with Cytrox’s Predator spyware through a text message containing a link to a Predator website.
These revelations raise serious concerns about the use of spyware to target opposition figures in a democratic process. Ahmed Eltantawy’s case underscores the need for strong cybersecurity measures and heightened awareness of potential threats during election campaigns.
Apple Releases Emergency Updates Amid Citizen Lab’s Disclosure
In response to Citizen Lab’s findings, Apple has issued three emergency updates for iOS, iPadOS (1), and macOS Ventura (2). The updates address the following vulnerabilities:
Apple has also acknowledged the researchers’ findings and stated that the company is aware of reports suggesting that this issue may have been actively exploited in versions of iOS prior to iOS 16.7.
Commenting on this, Dr Klaus Schenk, senior vice president of security and threat research at Verimatrix, said “The vulnerabilities discovered in Apple’s platforms are highly concerning due to their potential impact. Privilege escalation, arbitrary code execution, and especially remote exploitable arbitrary code execution rank among the most dangerous issues for any computing system.”
Dr Klaus emphasised that “It’s reassuring that Apple has not yet disclosed technical details of the attack vectors. Keeping that information private significantly reduces the risk of widespread exploits, since threat actors have less information to engineer effective attacks. For remote code execution to occur, a user would need to visit a website specifically crafted to leverage these vulnerabilities and distribute malicious code. With details undisclosed, the number of sites currently capable of mounting such an attack is likely very low.”
“That said, Apple customers should immediately install these emergency security updates to protect themselves against potential targeted attacks. Timely patching is critical, as threat actors will eventually reverse engineer the fixes to understand the underlying flaws. By updating promptly, users ensure their devices cannot be compromised by attacks exploiting these particular zero-day vulnerabilities, he advised.” “Moving forward, it’s essential that Apple continue working diligently to identify and rectify security issues in their software before they can be weaponised against users.”
This marks the second time in a month that Citizen Lab has detected a sophisticated spyware campaign targeting Apple devices. On September 7th, 2023, Apple released a critical security update to address a zero-click vulnerability that was actively delivering NSO Group’s Pegasus spyware to iPhones. These revelations were initially reported by Citizen Lab, which classified the attack as a BLASTPASS operation.
Conclusion
The Citizen Lab’s findings also shed light on the importance of maintaining up-to-date software and enabling security features like Lockdown Mode on Apple devices. They emphasize the critical role that security measures play in safeguarding individuals from cyber threats.
Additionally, the report calls for increased controls on the export of technologies that can be misused to violate human rights. It highlights the need for greater transparency and accountability in regulating dual-use technology exports, especially in cases involving companies headquartered in Canada.
In a world where cyber threats are becoming increasingly sophisticated, these findings serve as a stark reminder of the importance of digital security and the potential consequences of inadequate measures.
RELATED ARTICLES
[ad_2]
