תוכנה זדונית DazzleSpy

איום חזק ומלא עוצמה של iOS ו-macOS בדלת אחורית בשם DazzleSpy נפרס בהתקפות בורות מים נגד אזרחי הונג קונג עם נטיות פרו-דמוקרטיות. המתקפות הבחינו לראשונה על ידי גוגל TAG, שהודיעה לאפל עליהן. כדי להפיץ את איום התוכנה הזדונית, פושעי הסייבר הקימו אתר מזויף, שעליו דיווח פליקס איימה מ- SEKOIA.IO. הם גם התפשרו על אתר האינטרנט הרשמי של תחנת הרדיו של D100, רדיו מקוון פרו-דמוקרטי. פרטים נוספים על האיום, התוקפים הפוטנציאליים ושרשרת ההדבקה המועסקים נמסרו בדו"ח של חוקרים.

על פי הממצאים שלהם, הדלת האחורית שלא הייתה ידועה בעבר יכולה לזהות פקודות שונות מהמפעילים שלה וליצור שגרות פולשניות רבות במערכות שנפגעו. בהתאם למטרות התוקפים, DazzleSpy יכול לסנן קבצים שנבחרו ספציפית, למנות תהליכים רצים, למנות קבצים בספריות Dekstop, Documents והורדות, לבצע פקודות מעטפת שרירותיות, לתפעל את מערכת הקבצים ועוד. DazzleSpy, כפי ששמה מרמז, מסוגלת גם לרגל אחרי הקורבן על ידי רישום אירועי עכבר, כמו גם התחלת או סיום הפעלות מרוחקות. בנוסף, האיום מבצע את המשימות הדרושות כדי להשתמש לרעה בפגיעות CVE-2019-8526.

C2 תקשורת ויחוס

הדלת האחורית גם מוודאת שאף אחד לא מרגל אחר התקשורת שלו עם שרת ה-Command-and-Control (C2, C&C) של המתקפה. ראשית, DazzleSpy משתמש בהצפנה מקצה לקצה עבור ההודעות שלה. בנפרד, האיום מכניס פרוקסי TLS-inspection שעומד בין המכשירים הנגועים לשרת C2. אם תתגלה ישות לא ידועה לצותת, DazzleSpy לא תעשה ניסיון תקשורת.

עד כה, אין מובילים חותכים להקמת קבוצת פושעי הסייבר האחראית למתקפות DazzleSpy. עם זאת, אופי הפעולה והעובדה שחוקרי ה-infosec מצאו מספר הודעות פנימיות בסינית עשויות להיות רמז. המבצע גם מפגין קווי דמיון משמעותיים להתקפת בור השקיה שהתרחשה בשנת 2020. אז, הפעילות המאיימת יוחסה לקבוצת APT (Advanced Persistent Threat) שעקבה אחריה בתור TwoSail Junk. ההאקרים כיוונו לאזרחי הונג קונג באמצעות תוכנת זדונית LightSpy iOS שהופצה באמצעות טכניקות הזרקת iframe לאתר.