主页(http://www.175shouji.com):谷歌警告称攻击者正在部署针对安卓和 iOS 用户的间谍软件
谷歌警告哈萨克斯坦和意大利的受害者,他们正在成为 Hermit 的攻击目标,这是意大利供应商 RCS 实验室的一个复杂的模块化间谍软件,该软件不仅可以窃取数据,而且还可以记录和拨打电话。
谷歌威胁分析小组(TAG)的研究人员周四在一篇博文中透露了一些细节,TAG 研究人员 Benoit Sevens 和 Clement Lecigne 向目标发送了一个特制的链接,试图让他们下载并安装该间谍软件。然而,他们说,在苹果或谷歌两者的移动应用商店中都没有发现这些应用程序的相关信息。
TAG 公司将这种攻击归因于臭名昭著的监控软件供应商 RCS 实验室,该实验室与之前哈萨克斯坦政府的一个代理人针对国内目标的间谍软件攻击活动有关,并之后被 Lookout 研究发现。
Google TAG 发言人在周四下午发给媒体的电子邮件中写道,我们将会详细公布我们所调查的 RCS 实验室的相关信息,它是一家意大利供应商,它会使用各种攻击策略,包括非典型的驱动式下载作为初始感染载体,并以 iOS 和 Android 上的移动用户为攻击目标。
研究人员在帖子中写道,TAG 观察到的所有攻击活动都是通过向目标发送一个特制的链接,然后试图引诱用户使用任意一种方式下载 Hermit 间谍软件。用户一旦点击,那么受害者就会被引导到一个网页,然后在安卓或 iOS 系统上下载并且安装一个监控应用程序。
研究人员写道,该网页使用了意大利语要求用户安装这些应用程序中的一个,然后恢复他们的账户。并且该下载链接指向了攻击者控制的安卓或 iOS 恶意程序。
与互联网服务供应商合作
他们说,威胁者所采用的一个攻击诱饵是与目标的 ISP 合作,禁用他或她的移动数据连接,然后通过一个链接发送伪装成运营商的应用程序,然后试图让受害者安装一个恶意的应用程序来恢复数据连接。
研究人员在谷歌 Project Zero 的 Ian Beer 的一篇博文中提到了一个案例,他们发现了一个貌似是来自沃达丰的 iOS 应用,但实际上它是一个伪装的应用。攻击者会通过短信发送这个恶意应用程序的下载链接,试图欺骗目标下载 Hermit 间谍软件。
短信声称,为了恢复您的移动数据连接,您必须安装运营商的应用程序,这个短信还包括了一个下载和安装这个虚假应用程序的链接。
谷歌 TAG 研究人员写道,事实上,这可能是他们在 Hermit 活动中观察到的大多数应用程序都伪装成移动运营商应用程序的原因。
在其他情况下,当他们不能直接与互联网服务提供商合作时,威胁者会使用那些看起来像是消息应用程序的软件来隐藏 Hermit,据 Google TAG 研究人员说,这也证实了 Lookout 先前在其研究中所发现的情况。
揭秘针对 iOS 的攻击
Lookout 此前分享了针对安卓设备进行攻击的 Hermit 的相关技术细节,而谷歌 TAG 则详细说明了间谍软件在 iPhone 上的具体功能。
他们还公布了一系列的漏洞细节,其中的两个漏洞在最初被谷歌 Project Zero 发现时属于零日漏洞,并且攻击者在活动中还利用了这些漏洞。事实上,文章只是对其中一个漏洞进行了技术分析。CVE-2021-30983 漏洞在内部被称为 Clicked3,并且由苹果公司在 2021 年 12 月修复。
研究人员概述说,攻击者为了分发 iOS 应用程序,攻击者只需遵循苹果公司关于向苹果设备分发内部专有应用程序的指示即可,同时还会使用 itms-services 协议和 com.ios.Carrier 为标识符的清单文件。
他们说,由此生成的应用程序是用一家名为 3-1 Mobile SRL 的公司的证书签署的,并且该公司也已经加入了苹果开发者的企业计划中,这也就使得 iOS 设备上的证书合法化。
研究人员说,iOS 应用程序本身被分解成了多个部分,包括一个通用的特权提升利用包装器,它被六个不同的利用程序用于针对先前的漏洞进行攻击。除了 Clieked3 之外,其他被利用的漏洞还有:
CVE-2018-4344 内部称为并公开称为 LightSpeed。
CVE-2019-8605 内部称为 SockPort2,公开称为 SockPuppet。
CVE-2020-3837 内部称为并公开称为 TimeWaste。
CVE-2020-9907 内部称为 AveCesare
CVE-2021-30883 内部称为 Clicked2,在 2021 年 10 月被在野外利用。
研究人员补充说,2021 年之前使用的所有漏洞都是基于不同越狱社区公开的漏洞。
更为广泛的影响
Hermit 间谍软件的出现表明,在政府利用以色列 NSO 集团的 Pegasus 间谍软件对持不同政见者、活动家和非政府组织进行网络攻击以及谋杀记者的事件被曝光后,威胁者通常会作为国家支持的实体,然后使用新的监视技术和策略进行攻击。
谷歌 TAG 研究人员写道,事实上,虽然根据国家或国际法律,使用像 Hermit 这样的间谍软件可能是合法的,但它们经常会被政府用于与民主价值观相反的目的,针对持不同政见者、记者、人权工作者和反对党政治家进行攻击。
美国因这一活动将 NSO 集团列入了黑名单,这引起了国际社会的关注和愤怒。但据谷歌 TAG 称,这显然丝毫没有阻止这些用于邪恶目的的间谍软件的扩散。
事实上,商业间谍软件行业会继续蓬勃发展,并会以显著的速度增长,这应该会引起所有互联网用户的关注。
他们说,这些供应商正在使危险的黑客工具进行扩散,并为那些无法在内部开发这些工具的政府组织提供武器。
