Google identifierar ny avancerad attack mot iPhones
Googles Threat Analysis Group (TAG) har identifierat en ny watering hole attack som riktar sig mot iPhone-användare. Attacken är intressant på många sätt, bl.a. så uppger Google att attacken inriktas mot en viss typ av grupp samt att det faktum att fem olika exploit-kedjor används för att ta sig in i iPhones. För en säkerhetsforskare som tar fram en enda exploit-kedja och säljer den till företag såsom Zerodium kan ge upp mot 19 miljoner SEK enligt deras publika prislista.
Gällande exploit-kedjor så anger TAG följande:
seven for the iPhone’s web browser, five for the kernel and two separate sandbox escapes. Initial analysis indicated that at least one of the privilege escalation chains was still 0-day and unpatched at the time of discovery (CVE-2019-7287 & CVE-2019-7286)
När väl dessa sårbarheter utnyttjas så installeras sedan ett implantat som har möjlighet att läsa ut meddelanden ur end-to-end krypterade appar såsom iMessage, Whatsapp och Telegram. Även så kan detta implantat följa iPhone-användaren i realtid via GPS-koordinater som skickas till en Command and Control-server.
Just kommunikationen till C&C-servern går via HTTP och ej HTTPS vilket är annorlunda. Även kan dessa unika strängar användas för att identifiera kommunikation på nätverket:
- 9ff7172192b7
- /list/suc?name=
Ovan två förfrågningar går över HTTP GET alternativt POST.
Spekulationer om vem som ligger bakom dessa avancerade attacker riktas mot Kina eller grupperingar kopplade till Kina främst på grund av de omfattande sårbarheterna som utnyttjas mot iPhone samt att företaget Tencent är ett företag vars appar kontrolleras:
- com.yahoo.Aerogram
- com.microsoft.Office.Outlook
- com.netease.mailmaster
- com.rebelvox.voxer-lite
- com.viber
- com.google.Gmail
- ph.telegra.Telegraph
- com.tencent.qqmail
- com.atebits.Tweetie2
- net.whatsapp.WhatsApp
- com.skype.skype
- com.facebook.Facebook
- com.tencent.xin
Google har själva också varit sparsamma med information gällande implantatet som installeras exempelvis har ingen information om C&C-servrar publicerats. Detta troligtvis eftersom en större utredning pågår av amerikanska myndigheter.
Uppdatering: Enligt källor till TechCrunch är det Uigurer som är målet.