Nova Exploração do iOS Usada na Espionagem da Minoria Uigures na China
A empresa de segurança Volexity compartilhou que descobriu uma nova exploração do iOS usada para espionar a minoria Uigures chinesa. A exploração Insomnia funciona nas versões 12.3, 12.3.1 e 12.3.2 do iOS. A vulnerabilidade por trás da exploração foi corrigida pela Apple em julho de 2019, após o lançamento do iOS 12.4.
A Volexity mencionou que a exploração da Insomnia foi usada entre janeiro e março de 2020, carregada em dispositivos iOS de usuários que visitavam sites com temas Uigur. Quando as vítimas acessaram o site, a exploração foi carregada no dispositivo, concedendo acesso root aos autores da ameaça. Os atacantes usam o acesso para roubar mensagens, e-mails, listas de contatos, fotos e dados de localização do GPS.
Índice
A Exploração da Insomnia foi Utilizada pelo Grupo Evil Eye
A Volexity mencionou que a exploração foi desenvolvida por um autor de ameaças que eles estão rastreando, chamado Evil Eye. Acredita-se que o grupo Evil Eye seja patrocinado pelo Estado e esteja operando sob o aval do governo chinês para espionar a minoria muçulmana Uigur. Esse mesmo grupo foi descoberto pelo Google e pela Volexity no verão de 2019, usando 14 explorações do iOS para atingir a minoria desde setembro de 2016. As 14 explorações foram usadas em uma técnica de hole watering para tornar um site vulnerável, aguardando a infecção dos visitantes.
Um novo relatório da Volexity mencionou que, uma vez que o Google publicou o relatório sobre as 14 explorações do iOS, o Evil Eye desligou a infraestrutura e parou de usar as explorações mais antigas. A Volexity também mencionou que o grupo voltou ao radar no início de 2020 com a nova façanha da Insônia, continuando de onde pararam. Eles estão novamente visando a minoria Uigure com mais ataques a poços.
O Evil Eye Agora Visa o Signal e o nProtonMail
Os pesquisadores da Volexity mencionaram que a exploração da Insomnia também vem com mais melhorias, em comparação com as 14 explorações dos iOSes mais antigas usadas anteriormente. As explorações anteriores usadas nos ataques entre 2016 e 2019 visavam roubar coordenadas de GPS, livros de endereços, fotos, e-mails do Google e mensagens do WeChat, iMessage, Hangouts, Telegram e Whatsapp. A nova exploração da Insomnia também expandiu os alvos vulneráveis como o ProtonMail e as imagens enviadas pelo aplicativo Signal. A inclusão do ProtonMail e do Signal pode mostrar que os Uigures estão cientes do possível monitoramento de suas comunicações; portanto, eles estão usando aplicativos com segurança mais robusta, de acordo com a Volexity.
A Insomnia pode Funcionar em Qualquer Navegador WebKit
A empresa disse que todos os usuários do iOS que visitaram os sites repletos da Insomnia agora estão abertos a serem invadidos. A exploração pode ser acionada por qualquer navegador nos telefones, pois todos eles usam o WebKit. A Volexity conseguiu confirmar as explorações bem-sucedidas de telefones executando o 12.3.1 por meio do Google Chrome, Apple Safari e Microsoft Edge. Como foi o caso das explorações anteriores, o Insomnia ainda não tem nenhuma persistência de inicialização. A reinicialização do telefone deve remover o código malicioso Insomnia de qualquer dispositivo.
A Volexity também acredita que isso não significa que o Evil Eye não consiga que a persistência de inicialização aconteça se se concentrar em fazer isso acontecer. Pode ser possível que eles tenham um método de persistência, mas eles só o configuram manualmente se o destino for verificado. Segundo a empresa, a exploração foi encontrada principalmente no site da Uyghur Academy.
A atualização dos dispositivos para o iOS 12.4 pode protegê-los dessa ameaça se eles visitarem sites com temas Uigur.