LightSpy Spyware

អ្នកវិភាគផ្នែកសុវត្ថិភាពបានបង្ហាញថា Spyware របស់ LightSpy ដែលដំបូងឡើយគេគិតថាកំណត់គោលដៅអ្នកប្រើប្រាស់ Apple iOS គឺជាប្រភេទមេរោគ macOS ដែលមិនមានឯកសារ។ ការយល់ដឹងទាំងនេះកើតចេញពីអ្នកឯកទេសសន្តិសុខតាមអ៊ីនធឺណិតដែលបានពិនិត្យដានដែលភ្ជាប់ទៅនឹងការគំរាមកំហែងឆ្លងវេទិកានេះ។ ក្របខ័ណ្ឌមេរោគទំនងជាមានសក្តានុពលក្នុងការឆ្លងប្រព័ន្ធជាច្រើន រួមមាន Android, iOS, Windows, macOS និង Linux ក៏ដូចជារ៉ោតទ័រដែលផលិតដោយ NETGEAR, Linksys និង ASUS ។

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតទាញយកភាពងាយរងគ្រោះដើម្បីឆ្លងឧបករណ៍ជាមួយ LightSpy

ក្រុមអ្នកដើរតួគំរាមកំហែងបានប្រើការកេងប្រវ័ញ្ចជាសាធារណៈចំនួនពីរ (CVE-2018-4233, CVE-2018-4404) ដើម្បីដាក់ពង្រាយការផ្សាំនៅលើ macOS ដោយផ្នែកនៃ CVE-2018-4404 មានសក្តានុពលមានប្រភពចេញពីក្របខ័ណ្ឌ Metasploit ។ ការកេងប្រវ័ញ្ចបានកំណត់គោលដៅ macOS កំណែ 10 ។

ដំបូងឡើយត្រូវបានរាយការណ៍នៅឆ្នាំ 2020 ចាប់តាំងពីពេលនោះមក LightSpy ត្រូវបានភ្ជាប់ទៅឧបករណ៍តាមដានប្រព័ន្ធប្រតិបត្តិការ Android ដែលមានឈ្មោះថា DragonEgg ។

នៅខែមេសា ឆ្នាំ 2024 អ្នកស្រាវជ្រាវបានបង្ហាញយុទ្ធនាការចារកម្មតាមអ៊ីនធឺណិត "បន្ត" សំដៅលើអ្នកប្រើប្រាស់នៅអាស៊ីខាងត្បូង ដែលដំបូងគេជឿថានឹងផ្តល់កំណែ iOS របស់ LightSpy ។ ទោះជាយ៉ាងណាក៏ដោយ វាត្រូវបានគេរកឃើញថាជាវ៉ារ្យ៉ង់ macOS ទំនើបជាងមុនដោយប្រើប្រព័ន្ធដែលមានមូលដ្ឋានលើកម្មវិធីជំនួយដើម្បីប្រមូលព័ត៌មានប្រភេទផ្សេងៗ។

ខ្សែសង្វាក់វាយប្រហារនៃយុទ្ធនាការ LightSpy

ការវិភាគបង្ហាញថា macOS វ៉ារ្យ៉ង់បានដំណើរការនៅក្នុងព្រៃចាប់តាំងពីយ៉ាងហោចណាស់ខែមករាឆ្នាំ 2024 ដោយកំណត់គោលដៅប្រហែល 20 ឧបករណ៍ ដែលភាគច្រើនត្រូវបានគេជឿថាជាឧបករណ៍សាកល្បង។

លំដាប់នៃការវាយប្រហារចាប់ផ្តើមជាមួយនឹងការកេងប្រវ័ញ្ចនៃ CVE-2018-4233 ដែលជាភាពងាយរងគ្រោះរបស់ Safari WebKit តាមរយៈទំព័រ HTML ដែលគំរាមកំហែង បង្កឱ្យមានការប្រតិបត្តិកូដ។ វានាំទៅដល់ការដាក់ពង្រាយប្រព័ន្ធគោលពីរ Mach-O 64 ប៊ីត ដែលក្លែងធ្វើជាឯកសាររូបភាព PNG ។

មុខងារចម្បងរបស់ប្រព័ន្ធគោលពីរគឺដើម្បីស្រង់ចេញ និងប្រតិបត្តិស្គ្រីបសែល ដែលបន្ទាប់មកទាញយកបន្ទុកបន្ថែមចំនួនបី៖ ការកេងប្រវ័ញ្ចបង្កើនសិទ្ធិ ឧបករណ៍បំលែងកូដ/ឌិគ្រីប និងប័ណ្ណសារហ្ស៊ីប។

បន្ទាប់ពីនេះ ស្គ្រីបនឹងពន្លាប័ណ្ណសារហ្ស៊ីប ដែលមានឯកសារ 'អាប់ដេត' និង 'update.plist' ហើយផ្តល់សិទ្ធិជា root ដល់ទាំងពីរ។ ឯកសារ 'plist' ធានាភាពស្ថិតស្ថេរ ធានាថាឯកសារផ្សេងទៀតចាប់ផ្តើមបន្ទាប់ពីប្រព័ន្ធនីមួយៗចាប់ផ្តើមឡើងវិញ។

កម្មវិធីជំនួយដែលមានគ្រោះថ្នាក់អនុញ្ញាតឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតចាប់យកទិន្នន័យជាច្រើន។

ឯកសារ 'ធ្វើបច្ចុប្បន្នភាព' ដែលត្រូវបានគេស្គាល់ថាជា macircloader ដើរតួជាអ្នកផ្ទុកសម្រាប់សមាសភាគ LightSpy Core ។ សមាសភាគនេះអនុញ្ញាតឱ្យទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ Command-and-Control (C2) ដែលអនុញ្ញាតឱ្យទាញយកពាក្យបញ្ជា និងការទាញយកកម្មវិធីជំនួយ។

កំណែ macOS គាំទ្រកម្មវិធីជំនួយចំនួន 10 ផ្សេងគ្នា ដោយបើកមុខងារផ្សេងៗដូចជាការថតសំឡេងពីមីក្រូហ្វូន ការថតរូប ការថតសកម្មភាពលើអេក្រង់ ការប្រមូលឯកសារ និងការលុប ការប្រតិបត្តិពាក្យបញ្ជាសែល ការទាញយកបញ្ជីកម្មវិធីដែលបានដំឡើង និងដំណើរការដែលកំពុងដំណើរការ និងការទាញយកទិន្នន័យពីកម្មវិធីរុករកតាមអ៊ីនធឺណិត។ (Safari និង Google Chrome) និង iCloud Keychain ។

លើសពីនេះទៀត កម្មវិធីជំនួយពីរផ្សេងទៀតជួយសម្រួលដល់ការប្រមូលព័ត៌មានអំពីឧបករណ៍ផ្សេងទៀតដែលជាកម្មសិទ្ធិរបស់បណ្តាញតែមួយ ដោយរាយបញ្ជីបណ្តាញ Wi-Fi ដែលឧបករណ៍បានភ្ជាប់ និងផ្តល់ព័ត៌មានលម្អិតអំពីបណ្តាញ Wi-Fi ដែលនៅជិតនោះ។

ដោយមិនគិតពីវេទិកាដែលបានកំណត់គោលដៅ គោលបំណងចម្បងរបស់ក្រុមអ្នកគំរាមកំហែងគឺដើម្បីស្ទាក់ចាប់ទំនាក់ទំនងជនរងគ្រោះ រួមទាំងការសន្ទនាតាមអ្នកនាំសារ និងការថតសំឡេង។ កម្មវិធីជំនួយពិសេសសម្រាប់ macOS ត្រូវបានបង្កើតឡើងជាពិសេសសម្រាប់ការរកឃើញបណ្តាញ ដោយមានគោលដៅកំណត់អត្តសញ្ញាណឧបករណ៍នៅជិតទីតាំងរបស់ជនរងគ្រោះ។