DazzleSpy-haittaohjelma
Voimakas, täysimittainen iOS- ja macOS-takaoviuhka nimeltä DazzleSpy käytettiin hyökkäyksissä demokratiaa kannattavia Honkkongin kansalaisia vastaan. Hyökkäykset huomasi ensimmäisenä Google TAG, joka ilmoitti niistä Applelle. Haittaohjelmauhan levittämiseksi kyberrikolliset perustivat väärennetyn verkkosivuston, josta kertoi Felix Aimé SEKOIA.IO:sta. He myös vaaransivat D100:n virallisen radioasemasivuston, demokratiaa kannattavan online-radion. Tarkempia tietoja uhasta, mahdollisista hyökkääjistä ja palkatusta tartuntaketjusta on julkaistu tutkijoiden raportissa.
Heidän havaintojensa mukaan aiemmin tuntematon takaovi tunnistaa useita erilaisia komentoja operaattoreiltaan ja muodostaa useita invasiivisia rutiineja vaarantuneisiin järjestelmiin. Hyökkääjien tavoitteista riippuen DazzleSpy voi suodattaa erityisesti valittuja tiedostoja, luetella käynnissä olevia prosesseja, luetella tiedostoja Työpöytä-, Asiakirjat- ja Lataukset-hakemistoissa, suorittaa mielivaltaisia komentotulkkikomentoja, manipuloida tiedostojärjestelmää ja paljon muuta. DazzleSpy, kuten sen nimestä voi päätellä, pystyy myös vakoilemaan uhria kirjaamalla hiiren tapahtumia sekä aloittamaan tai lopettamaan etäistuntoja. Lisäksi uhka suorittaa tarvittavat tehtävät CVE-2019-8526-haavoittuvuuden väärinkäyttöön.
C2 Viestintä ja nimeäminen
Takaovi varmistaa myös, ettei kukaan vakoile sen viestintää hyökkäyksen komento- ja ohjauspalvelimen (C2, C&C) kanssa. Ensinnäkin DazzleSpy käyttää viesteissään päästä päähän -salausta. Uhka lisää erikseen TLS-tarkastusvälityspalvelimen, joka on tartunnan saaneiden laitteiden ja C2-palvelimen välissä. Jos tuntematon kokonaisuus havaitaan salakuunnettavaksi, DazzleSpy ei yritä yhteyttä.
Toistaiseksi ei ole olemassa vakuuttavia johtolankoja DazzleSpy-hyökkäyksistä vastuussa olevan kyberrikollisryhmän perustamisesta. Operaation luonne ja se, että infosec-tutkijat löysivät useita sisäisiä viestejä kiinaksi, voivat kuitenkin olla vihje. Operaatiossa on myös merkittäviä yhtäläisyyksiä vuonna 2020 tapahtuneen vesiaukon hyökkäyksen kanssa. Tuolloin uhkaava toiminta johtui APT (Advanced Persistent Threat) -ryhmästä, jota seurattiin TwoSail Junkina. Hakkerit hyökkäsivät Hongkongin kansalaisiin LightSpy iOS -haittaohjelmalla, jota levitettiin verkkosivustojen iframe-injektiotekniikoilla.
