LightSpy Spyware
Tietoturva-analyytikot ovat paljastaneet, että LightSpy-vakoiluohjelma, jonka alun perin uskottiin kohdistuvan Apple iOS -käyttäjiin, on haittaohjelman dokumentoimaton macOS-versio. Nämä oivallukset ovat peräisin kyberturvallisuusasiantuntijoilta, jotka tutkivat tähän monialustaiseen uhkaan liittyviä jälkiä. Haittaohjelmakehys saattaa todennäköisesti saastuttaa monenlaisia järjestelmiä, mukaan lukien Android, iOS, Windows, macOS ja Linux, sekä NETGEARin, Linksysin ja ASUSin valmistamat reitittimet.
Sisällysluettelo
Kyberrikolliset hyödyntävät haavoittuvuuksia tartuttaakseen laitteita LightSpyllä
Uhkatoimijaryhmä hyödynsi kahta julkisesti saatavilla olevaa hyväksikäyttöä (CVE-2018-4233, CVE-2018-4404) implanttien asentamiseksi macOS:ään, ja osa CVE-2018-4404:stä saattaa olla peräisin Metasploit-kehyksestä. Hyödynnä kohdennettua macOS-versiota 10.
Alun perin vuonna 2020 raportoitu LightSpy on sittemmin yhdistetty Android-valvontatyökaluun nimeltä DragonEgg.
Huhtikuussa 2024 tutkijat paljastivat "uusitetun" kybervakoilukampanjan, joka oli suunnattu käyttäjille Etelä-Aasiassa ja jonka uskottiin alun perin toimittavan LightSpyn iOS-version. Sen on kuitenkin havaittu olevan kehittyneempi macOS-versio, joka käyttää laajennuspohjaista järjestelmää erityyppisten tietojen keräämiseen.
LightSpy-kampanjan hyökkäysketju
Analyysi osoittaa, että macOS-variantti on ollut toiminnassa luonnossa ainakin tammikuusta 2024 lähtien ja se on kohdistettu noin 20 laitteeseen, joista useimpien uskotaan olevan testilaitteita.
Hyökkäyssarja käynnistyy, kun CVE-2018-4233, Safari WebKit -haavoittuvuus, hyödynnetään uhkaavien HTML-sivujen kautta, mikä laukaisee koodin suorittamisen. Tämä johtaa PNG-kuvatiedostoksi naamioituneen 64-bittisen Mach-O-binaarin käyttöönottoon.
Binaarin päätehtävä on purkaa ja suorittaa shell-skripti, joka sitten hakee kolme lisähyötykuormaa: etuoikeuksien eskaloinnin, salaus-/salauksenpurkutyökalun ja ZIP-arkiston.
Tämän jälkeen komentosarja purkaa ZIP-arkiston, joka sisältää "update"- ja "update.plist"-tiedostot, ja antaa pääkäyttäjän oikeudet molemmille. "Plist"-tiedosto varmistaa pysyvyyden ja varmistaa, että toinen tiedosto käynnistyy jokaisen järjestelmän uudelleenkäynnistyksen jälkeen.
Haitallisten lisäosien avulla verkkorikolliset voivat kaapata lukuisia tietoja
Päivitystiedosto, joka tunnetaan myös nimellä macircloader, toimii LightSpy Core -komponentin latausohjelmana. Tämä komponentti mahdollistaa viestinnän Command-and-Control (C2) -palvelimen kanssa, mikä mahdollistaa komentojen ja liitännäisten lataamisen.
MacOS-versio tukee 10 erilaista laajennusta, jotka mahdollistavat erilaisia toimintoja, kuten äänen kaappauksen mikrofonista, valokuvien ottamisen, näytön toimintojen tallentamisen, tiedostojen keräämisen ja poistamisen, komentotulkkikomentojen suorittamisen, asennettujen sovellusten ja käynnissä olevien prosessien luetteloiden hakemisen sekä tietojen poimimisen verkkoselaimista. (Safari ja Google Chrome) ja iCloud-avainnippu.
Lisäksi kaksi muuta lisäosaa helpottavat tietojen keräämistä muista samaan verkkoon kuuluvista laitteista, luettelevat Wi-Fi-verkot, joihin laite on liittänyt, ja tarjoavat tietoja lähellä olevista Wi-Fi-verkoista.
Kohteen kohteena olevasta alustasta riippumatta uhkatoimijaryhmän ensisijaisena tavoitteena oli siepata uhrien viestintä, mukaan lukien viestintäkeskustelut ja äänitallenteet. MacOS:lle kehitettiin erityinen laajennus erityisesti verkon löytämistä varten, tavoitteena tunnistaa laitteet lähellä uhrin sijaintia.
