استفاده جاسوس افزارهای تجاری از 0dayها و ndayها

زمان مطالعه: 5 دقیقه

محققای گوگل (TAG) یه گزارشی در خصوص استفاده دولتها از ابزارهای هک تجاری برای جاسوسی از افراد منتشر کردن.

گوگل گفته که فعالیت فروشندگان برنامه های جاسوسی تجاری که برای محافظت از افراد توسعه داده میشن ، رو نظارت میکنه. این شرکت گفته که تا الان 30 شرکت در زمینه فروش اکسپلویت و برنامه های نظارتی که این امکانات در اختیار دولتها قرار میدن رو رصد کرده.

این شرکتها ابزارهای هک پیچیده ای رو در اختیار دولتها قرار میدن که ، خود این دولتها نمیتونن اونارو در داخل کشورشون توسعه بدن. اگرچه استفاده از ابزارهای نظارتی از لحاظ قوانین ملی یا بین المللی مشکلی نداره اما دولتها از این ابزارها برای جاسوسی از مخالفین، روزنامه نگاران ، فعالین حقوق بشر و سیاستمداران احزاب مخالف ، استفاده میکنن.

در این گزارش ، گوگل در خصوص دو کمپین مطالبی رو ارائه داده که از زیرودی های مختلف در اندروید، IOS و کروم استفاده کردن و هر دو محدود و هدفمند بودن. علاوه بر زیرودیها ، از Ndayها هم به دلیل فاصله زمانی بین انتشار و اعمال اصلاحیه روی سیستم ها استفاده کردن.

گوگل گفته این شرکتها ، توانایی هایی رو در اختیار دولتها قرار دادن که فقط توسط دولتهایی با دانش فنی بالا در دسترس هستش.

 

 

کمپین اول: بسته های حاوی زیرودی !

در نوامبر 2022 ، محققین گوگل یه زنجیره اکسپلویت زیرودی کشف کردن که روی اندروید و IOS تاثیر میذاشته و از طریق پیامک و در قالب لینکهای bit.ly برای افرادی در ایتالیا، قزاقستان و مالزی ارسال شده. قربانیان بعد از کلیک روی لینکها ، به صفحاتی ریدایرکت شدن که بسته به نوع گوشی، حاوی اکسپلویت زیرودی اندورید یا IOS بوده و بعدش اونارو به سایتهای قانونی مانند صفحه رهگیری بسته های پستی شرکت ایتالیایی BRT یا یه سایت خبری در مالزی هدایت میکرده.

 

 

زنجیره اکسپلویت IOS:

زنجیره اکسپلویت برای این مورد ، IOSهای قبل از 15.1 رو هدف قرار میداده که شامل موارد زیر هستش که یه موردش زیرودی هست:

• آسیب پذیری CVE-2022-42856 : یه آسیب پذیری از نوع type confusion و در مولفه wekit و در بخش JIT compiler هستش و امکان اجرای کد از راه دور میده. این آسیب پذیری در زمان کشف، زیرودی بود.
• اکسپلویتی که برای دور زدن PAC استفاده میشد و اپل اونو در مارس 2022 با حذف DYLD_INTERPOSE از webkit اصلاحش کرد. دقیقا روشی که در بدافزار Predator از Cytrox که محققای Citizenlab در موردش اینجا توضیح دادن. تابع make_bogus_transform که بخشی از اکسپلویت دور زدن PAC هستش در هر دو اکسپلویت وجود داره.

 

• آسیب پذیری CVE-2021-30900 : آسیب پذیری امکان دور زدن سندباکس و افزایش امتیاز میده و در مولفه AGXAccelerator رخ میده. اپل اونو در نسخه 15.1 اصلاح کرده. جزییات این باگ میتونید در اکسپلویتی که اینجا توضیح داده ، مشاهده کنید.

پیلود نهایی یه stager ساده هستش که موقعیت GPS دستگاه ارسال میکنه و به مهاجم امکان نصب .IPA رو روی دستگاه میده.

 

زنجیره اکسپلویت اندروید:

زنجیره اکسپلویت اندروید دستگاههایی که روی ARM GPU اجرا میشدن و دارای کروم نسخه قبل 106 بودن رو هدف قرار میداد و شامل سه اکسپلویت بود که یکیش زیرودی بود.

• آسیب پذیری CVE-2022-3723 : آسیب پذیری از نوع type confusion بود و توسط Avast کشف شد و در اکتبر 2022 در نسخه 107.0.5304.87 اصلاح شد.
• آسیب پذیری CVE-2022-4135 : اکسپلویتی که برای دور زدن سندباکس در Chrome GPU مورد استفاده قرار میگرفت. فقط نسخه های اندرویدی تحت تاثیر بودن و در نوامبر 2022 اصلاح شد. تحلیل این اکسپلویت میتونید از اینجا مشاهده کنید. این اکسپلویت اون زمان زیرودی بود.
• آسیب پذیری CVE-2022-38181 : آسیب پذیری از نوع افزایش امتیاز بود که توسط ARM در آگوست 2022 اصلاح شد. معلوم نیست که مهاجمین قبل از گزارش شدن به ARM از این آسیب پذیری سوء استفاده کردن یا نه.

نکته ای که وجود داره اینه که اگه کاربران از Samsung Internet Browser استفاده میکردن، از طریق Intent Redirection به کروم هدایت میشدن. در گذشته این کار برعکس بود یعنی کاربران از کروم به Samsung Internet Browser هدایت میشدن مشابه کاری که در اکسپلویت CVE-2022-2856 هستش. محققا نتونستن پیلود نهایی رو بدست بیارن.

نکته بعدی اینکه وقتی ARM برای CVE-2022-38181 اصلاحیه داد، اصلاحیه ها توسط وندورها اعمال نشد و در نتیجه منجر به اکسپلویت باگها شد. این نکته در پست هایی توسط Project Zero و Github Security Lab مورد بررسی قرار گرفتن.

گوشی های پیکسل در برابر هر دو اکسپلویت امن هستن ، همچنین کاربرانی که حداقل از نسخه 108.0.5359 کروم استفاده میکنن هم ایمن هستن.

IOCهای مرتبط:

• https://cdn.cutlink[.]site/p/uu6ekt – landing page
• https://api.cutlink[.]site/api/s/N0NBL8/ – Android exploit chain
• https://api.cutlink[.]site/api/s/3PU970/ – iOS exploit chain
• https://imjustarandomsite.3utilities[.]com – exploit delivery server

 

کمپین دوم: زنجیره اکسپلویت کامل برای Samsung Internet Browser :

محققای گوگل در دسامبر 2022، یه زنجیره اکسپلویت حاوی زیرودی و nday کشف کردن که آخرین نسخه Samsung Internet Browser رو هدف قرار میداد. اکسپلویتها از طریق لینکهای یکبار مصرف و از طریق پیامک کاربرانی در امارات هدف قرار داده بود.

این لینکها کاربران به صفحه landing  هدایت میکرد که در فریمورک Heliconia از Variston استفاده شده بود. این زنجیره اکسپلویت در نهایت یه جاسوس افزار اندرویدی رو ارائه میداد که در زبان سی پلاس توسعه داده شده بود که شامل کتابخانه هایی برای دیکریپت و ضبط داده ها از برنامه های مختلف چت و مرورگر میشد.  بازیگری که پشت این حمله بوده یا مشتری یا شریک Variston بوده یا با فروشندگان نرم افزارهای جاسوسی کار میکرده.

زنجیره اکسپلویت به آخرین نسخه Samsung Internet Browser که روی Chromium 102 بود تحویل داده میشد و اگه روش اقدامات کاهشی وجود داشت نیاز به اکسپلویتهای بیشتری برای دور زدن این اقدامات بود.

• آسیب پذیری CVE-2022-4262 : آسیب پذیری از نوع type confusion بود که در دسامبر 2022 در کروم اصلاح شد. اون زمان زیرو دی بود.
• آسیب پذیری CVE-2022-3038 : آسیب پذیری امکان دور زدن سندباکس میداد و در آگوست 2022 در کروم نسخه 105 اصلاح شد.
• آسیب پذیری CVE-2022-22706 : آسیب پذیری در Mali GPU Kernel Driver بود که توسط ARM در ژانویه 2022 اصلاح شد. آخرین فریمور سامسونگ ، اصلاحیه برای این آسیب پذیری نداده بود و آسیب پذیری امکان دسترسی به سیستم توسط مهاجم میداد.
• آسیب پذیری CVE-2023-0266 : آسیب پذیری از نوع race condition در زیرسیستم Linux kernel sound بود که توسط system user قابل دسترس بود و دسترسی خواندن و نوشتن کرنلی به مهاجم میداد. در اون زمان زیرودی بود.

زنجیره اکسپلویت همچنین شامل چندین زیرودی بود که امکان نشت اطلاعات کرنل وقتی آسیبپذیریهای CVE-2022-22706 و CVE-2023-0266 اکسپلویت میشدن رو میداد. گوگل این آسیب پذیری ها رو به سامسونگ و ARM گزارش کرده بود. آسیب پذیری CVE-2023-26083 هم برای نشت اطلاعات در Mali رزرو شده بود.

 

IoCهای این گزارش:

وجود دایرکتوری زیر در دستگاه:

 

 

ویژگی های سیستم اندرویدی زیر میتونه نشانه های اکسپلویت باشه:

 

 

• www.sufficeconfigure[.]com – landing page and exploit delivery
• www.anglesyen[.]org – malware C2

 

نکات ایمنی :

اگه کاربران از نسخه های بروزشده استفاده میکردن ، در برابر این اکسپلویتها امن بودن و این اهمیت اعمال اصلاحیه ها رو نشون میده.

وجود اقدامات کاهشی مانند PAC و V8 sandbox و MiraclePTR تاثیر جدی روی توسعه اکسپلویت میزاره و باعث میشه برای دور زدن این اقدامات، نیاز به کشف باگهای بیشتر باشه.

 

نتیجه گیری:

این گزارش نشون میده که فروشندگان جاسوس افزار تجاری همچنان در حال رشد هستن. با وجود دسترسی فروشندگان کوچک به زیرودی و ذخیره زیرودیها توسط فروشندگان بزرگ و استفاده از اونها در مواقع خاص ، اینترنت با خطرات جدی مواجه میشه. همچنین این گزارش نشون میده که اکسپلویتها و تکنیکها بین فروشندگان به اشتراک گذاشته میشه که امکان توسعه ابزارهای هک خطرناک فراهم میکنه.

 

منبع