Το Threat Intelligence Group της Google και η εταιρεία ασφαλείας iVerify μοιράστηκαν λεπτομέρειες σχετικά με το Coruna, ένα κιτ εκμετάλλευσης που αλυσοδένει πολλαπλές ευπάθειες για να στοχεύσει iPhone με παλαιότερες εκδόσεις iOS. Εδώ είναι οι λεπτομέρειες.
Κάτω από την κουκούλα
Ως εντοπίστηκε από Ενσύρματομια ανάρτηση που δημοσιεύτηκε σήμερα στο Ιστολόγιο Google Cloud αποκαλύπτει λεπτομέρειες ενός κιτ εκμετάλλευσης που ονομάζεται Coruna, το οποίο αξιοποιεί πέντε πλήρεις αλυσίδες εκμετάλλευσης iOS και 23 ευπάθειες για να θέσει σε κίνδυνο μη επιδιορθωμένα iPhone που εκτελούν iOS 13 έως iOS 17.2.1.
Σε πολύ υψηλό επίπεδο, το κιτ εκμετάλλευσης Coruna λειτουργεί αλυσοδένοντας πολλαπλά τρωτά σημεία για να παραβιάσει σταδιακά τα επίπεδα ασφαλείας του iPhone.
Μετά την επίσκεψη σε έναν κακόβουλο ιστότοπο που χρησιμοποιεί κρυφή JavaScript για να ελέγξει το μοντέλο της συσκευής, την έκδοση συστήματος και άλλες ρυθμίσεις ασφαλείας, η επίθεση μπορεί να ακολουθήσει πολλαπλές διαδρομές για να παρακάμψει τις βασικές προστασίες iOS, να αποκτήσει προνόμια υψηλού επιπέδου και να εγκαταστήσει κακόβουλο λογισμικό που μπορεί να συλλέξει δεδομένα ή ακόμη και να κατεβάσει πρόσθετες μονάδες.
Είναι ενδιαφέρον ότι η Google σημειώνει ότι το exploit ελέγχει εάν η συσκευή έχει ενεργοποιημένη τη λειτουργία Lockdown και ματαιώνει τη διαδικασία εάν ναι ή εάν ο χρήστης βρίσκεται σε λειτουργία ιδιωτικής περιήγησης.
Για να είμαστε σαφείς, το κιτ εκμετάλλευσης στοχεύει iPhone που εκτελούν παλαιότερες εκδόσεις iOS και είναι αναποτελεσματικό έναντι των πιο πρόσφατων εκδόσεων συστήματος. Αυτός είναι ένας από τους πολλούς λόγους για τους οποίους είναι σημαντικό να διατηρεί κανείς τις συσκευές του ενημερωμένες.
Για μια πολύ, πολύ πιο βαθιά ματιά στον τρόπο λειτουργίας της Coruna, καθώς και στην πλήρη λίστα των τρωτών σημείων (και των CVE τους, όταν είναι διαθέσιμα) που στοχεύουν κάθε μεμονωμένη έκδοση iOS μεταξύ iOS 13 και iOS 17.2.1, ανατρέξτε στο πλήρης ανάρτηση στο Google Cloud Blog.
Στα παρασκήνια
Παράλληλα με την ανάρτηση της Google, η εταιρεία ασφάλειας κινητής τηλεφωνίας iVerify επίσης δημοσίευσε έκθεση στην Κορούνια, προσφέροντας πρόσθετο πλαίσιο σχετικά με την πιθανή προέλευσή της.
Με βάση την αντίστροφη μηχανική του πλαισίου, το iVerify λέει ότι η Coruna φαίνεται να έχει χτιστεί στα ίδια θεμέλια με τα γνωστά κυβερνητικά εργαλεία χάκερ των ΗΠΑ.
Από την αναφορά του iVerify:
Αυτή είναι η πρώτη παρατηρούμενη μαζική εκμετάλλευση κινητών τηλεφώνων, συμπεριλαμβανομένου του iOS, από μια εγκληματική ομάδα που χρησιμοποιεί εργαλεία που πιθανότατα έχουν κατασκευαστεί από ένα έθνος-κράτος.
Αυτό στο οποίο αναφέρονται είναι ότι, παρά τις προφανείς κοινές ρίζες της Κορούνια με άλλα εργαλεία χάκερ που συνδέονται με την κυβέρνηση των ΗΠΑ, φαίνεται να έχει διαρρεύσει κάποια στιγμή και να έχει αναπτυχθεί σε εκστρατείες από Ρώσους κατασκόπους και εγκληματίες του κυβερνοχώρου με έδρα την Κίνα.
Έκθεση μετά από έκθεση πέρυσι έδειχνε ότι το spyware είχε ξεπεράσει τους αναμενόμενους στόχους της κοινωνίας των πολιτών, όπως δημοσιογράφους και αντιφρονούντες εκτός από εγκληματίες, για να χτυπήσει στελέχη τεχνολογίας και χρηματοοικονομικών υπηρεσιών, πολιτικές εκστρατείες και άλλα άτομα επιρροής ή με προνομιακή πρόσβαση. Όσο πιο διαδεδομένη είναι η χρήση, τόσο πιο βέβαιο θα υπάρξει διαρροή.
Σε καμπάνιες που παρατηρήθηκαν, το iVerify και η Google αναφέρουν ότι το κιτ εκμετάλλευσης παραδόθηκε μέσω επιθέσεων «watering hole» σε παραβιασμένους ιστότοπους, συμπεριλαμβανομένων πλαστών υπηρεσιών κρυπτονομισμάτων που έχουν σχεδιαστεί για να παρασύρουν τα θύματα σε κακόβουλες σελίδες.
Σε αυτές τις καμπάνιες, το τελικό ωφέλιμο φορτίο εμφανίζεται με οικονομικά κίνητρα, με ενότητες σχεδιασμένες για την εξαγωγή δεδομένων πορτοφολιού κρυπτονομισμάτων και φράσεων ανάκτησης από μολυσμένες συσκευές.
Για να διαβάσετε την πλήρη αναφορά του iVerify, ακολουθήστε αυτόν τον σύνδεσμο.
Προσφορές αξεσουάρ στο Amazon
FTC: Χρησιμοποιούμε συνδέσμους θυγατρικών που κερδίζουν αυτόματα εισόδημα. Περισσότερο.
Via: 9to5mac.com
