LightSpy Spyware

सुरक्षा विश्लेषकों ने खुलासा किया है कि लाइटस्पाई स्पाइवेयर, जिसे शुरू में Apple iOS उपयोगकर्ताओं को लक्षित करने के लिए माना जाता था, मैलवेयर का एक अनिर्दिष्ट macOS संस्करण है। ये जानकारियाँ साइबर सुरक्षा विशेषज्ञों से मिली हैं जिन्होंने इस क्रॉस-प्लेटफ़ॉर्म खतरे से जुड़े निशानों की जाँच की। मैलवेयर फ्रेमवर्क में संभवतः Android, iOS, Windows, macOS और Linux सहित कई तरह के सिस्टम को संक्रमित करने की क्षमता है, साथ ही NETGEAR, Linksys और ASUS द्वारा निर्मित राउटर भी।

साइबर अपराधी लाइटस्पाई के साथ डिवाइस को संक्रमित करने के लिए कमजोरियों का फायदा उठाते हैं

ख़तरा पैदा करने वाले समूह ने macOS पर इम्प्लांट तैनात करने के लिए दो सार्वजनिक रूप से उपलब्ध शोषण (CVE-2018-4233, CVE-2018-4404) का लाभ उठाया, जिसमें CVE-2018-4404 का हिस्सा संभवतः मेटास्प्लॉइट फ़्रेमवर्क से उत्पन्न हुआ था। शोषण ने macOS संस्करण 10 को लक्षित किया।

प्रारंभ में 2020 में रिपोर्ट की गई, लाइटस्पाई को तब से ड्रैगनएग नामक एक एंड्रॉइड निगरानी उपकरण से जोड़ा गया है।

अप्रैल 2024 में, शोधकर्ताओं ने दक्षिण एशिया में उपयोगकर्ताओं को लक्षित करने वाले एक "नए सिरे से" साइबर जासूसी अभियान का खुलासा किया, जिसे शुरू में लाइटस्पाई का iOS संस्करण देने के लिए माना जाता था। हालाँकि, यह एक अधिक परिष्कृत macOS संस्करण के रूप में पाया गया है जो विभिन्न प्रकार की जानकारी एकत्र करने के लिए प्लगइन-आधारित प्रणाली का उपयोग करता है।

लाइटस्पाई अभियान की आक्रमण श्रृंखला

विश्लेषण से पता चलता है कि macOS संस्करण कम से कम जनवरी 2024 से परिचालन में है, जिसका लक्ष्य लगभग 20 डिवाइस हैं, जिनमें से अधिकांश को परीक्षण डिवाइस माना जाता है।

हमले का क्रम CVE-2018-4233, एक Safari WebKit भेद्यता के शोषण के साथ शुरू होता है, HTML पृष्ठों को खतरे में डालकर, कोड निष्पादन को ट्रिगर करता है। यह PNG छवि फ़ाइल के रूप में प्रच्छन्न 64-बिट Mach-O बाइनरी की तैनाती की ओर जाता है।

बाइनरी का मुख्य कार्य एक शेल स्क्रिप्ट को निकालना और निष्पादित करना है, जो फिर तीन अतिरिक्त पेलोड प्राप्त करता है: एक विशेषाधिकार वृद्धि शोषण, एक एन्क्रिप्शन/डिक्रिप्शन उपकरण, और एक ज़िप संग्रह।

इसके बाद, स्क्रिप्ट ज़िप आर्काइव को अनपैक करती है, जिसमें 'अपडेट' और 'अपडेट.प्लिस्ट' फ़ाइलें होती हैं, और दोनों को रूट विशेषाधिकार प्रदान करती है। 'प्लिस्ट' फ़ाइल स्थायित्व सुनिश्चित करती है, यह सुनिश्चित करती है कि प्रत्येक सिस्टम पुनरारंभ के बाद दूसरी फ़ाइल लॉन्च हो।

हानिकारक प्लगइन्स साइबर अपराधियों को बड़ी मात्रा में डेटा हासिल करने की अनुमति देते हैं

'अपडेट' फ़ाइल, जिसे मैकिरक्लॉडर के नाम से भी जाना जाता है, लाइटस्पाई कोर घटक के लिए लोडर के रूप में कार्य करती है। यह घटक कमांड-एंड-कंट्रोल (C2) सर्वर के साथ संचार को सक्षम बनाता है, जिससे कमांड और प्लगइन डाउनलोड की पुनर्प्राप्ति की अनुमति मिलती है।

मैकओएस संस्करण 10 विभिन्न प्लगइन्स का समर्थन करता है, जो विभिन्न कार्यात्मकताओं को सक्षम करता है जैसे कि माइक्रोफोन से ऑडियो कैप्चर करना, फोटो लेना, स्क्रीन गतिविधि रिकॉर्ड करना, फ़ाइल हार्वेस्टिंग और हटाना, शेल कमांड निष्पादित करना, इंस्टॉल किए गए एप्लिकेशन और चल रही प्रक्रियाओं की सूची प्राप्त करना, और वेब ब्राउज़र (सफारी और गूगल क्रोम) और आईक्लाउड कीचेन से डेटा निकालना।

इसके अतिरिक्त, दो अन्य प्लगइन्स उसी नेटवर्क से संबंधित अन्य उपकरणों के बारे में जानकारी एकत्र करने, उपकरण से जुड़े वाई-फाई नेटवर्क को सूचीबद्ध करने और आस-पास के वाई-फाई नेटवर्क के बारे में विवरण प्रदान करने की सुविधा प्रदान करते हैं।

लक्षित प्लेटफ़ॉर्म चाहे जो भी हो, ख़तरा पैदा करने वाले समूह का प्राथमिक उद्देश्य पीड़ित के संचार को बाधित करना था, जिसमें मैसेंजर वार्तालाप और वॉयस रिकॉर्डिंग शामिल हैं। मैकओएस के लिए एक समर्पित प्लगइन विशेष रूप से नेटवर्क डिस्कवरी के लिए विकसित किया गया था, जिसका लक्ष्य पीड़ित के स्थान के पास उपकरणों की पहचान करना था।