Des pirates chinois utilisent le nouveau piratage de l’iPhone pour espionner les musulmans ouïghours

Un groupe de pirates chinois a été découvert en train de tirer parti d’une nouvelle chaîne d’exploitation dans les appareils iOS pour installer un implant de logiciel espion ciblant la minorité musulmane ouïgoure dans la région autonome chinoise du Xinjiang.

Les résultats, publiés par la société de digital forensics VolexitéLes résultats de l’enquête, qui a révélé que l’exploit – appelé « Insomnia » – fonctionne contre les versions 12.3, 12.3.1 et 12.3.2 d’iOS en utilisant une faille dans WebKit qui a été corrigée par Apple avec la publication de iOS 12.4 en juillet 2019.

Volexity a déclaré que les attaques ont été menées par un groupe de piratage informatique parrainé par l’État qu’il appelle Le mauvais œille même acteur de la menace qui, selon lui, était à l’origine d’une série d’attaques contre les Ouïghours en septembre dernier, à la suite d’une révélation de la bombe par Google L’équipe du Projet Zéro.

La Chine a longtemps considéré le Xinjiang comme un terrain propice à  » lles séparatistes, les terroristes et les extrémistes religieuxLes habitants de la région – des musulmans turcs – ont été jetés dans la rue. camps de concentrationet soumis à des persécutions et surveillance de haute technologie.

Attaques de trous d’arrosage visant des sites web ouïgours

La campagne de lutte contre les logiciels malveillants exploitait auparavant autant de 14 vulnérabilités allant de iOS 10 à iOS 12 sur une période d’au moins deux ans, par le biais d’une petite collection de sites web malveillants qui ont été utilisés comme un point d’eau pour pirater les appareils.

Selon Volexity, Insomnia a été chargé sur les appareils iOS des utilisateurs utilisant la même tactique, accordant aux attaquants un accès root, leur permettant ainsi de voler des informations de contact et de localisation, et de cibler divers clients de messagerie instantanée et de courrier électronique, y compris Signal, WeChat et ProtonMail.

Dans son rapport, l’entreprise indique qu’à la suite de l’exposé de l’année dernière, l’acteur Evil Eye a retiré le code malveillant des sites web compromis et a démantelé son infrastructure de serveur de commande et de contrôle (C2), jusqu’à ce qu’il commence à observer « une nouvelle activité sur plusieurs sites web ouïghours précédemment compromis » à partir de janvier 2020.

Il convient de souligner que le moteur de navigation open-source WebKit est à la base de Safari et d’autres navigateurs web tiers sur iOS tels que Google Chrome et Firefox en raison des restrictions imposées par le Lignes directrices pour l’examen de l’App Store (Section 2.5.6).

« Volexity a pu confirmer l’exploitation réussie d’un téléphone fonctionnant en 12.3.1 via les navigateurs mobiles Apple Safari, Google Chrome et Microsoft Edge », a déclaré l’équipe de recherche.

Les nouvelles attaques de « watering hole » ont compromis six sites web différents (par exemple, le site de l’Académie ouïghoure ou celui de l’akademiye[.]org), qui, lors de la visite, a mis en place l’implant d’insomnie sur l’appareil.

Le logiciel espion cible maintenant ProtonMail et Signal

Quant au Spyware, il semble être un version actualisée de l’implant détaillée par le groupe de sécurité du Projet Zéro de Google, mais avec la prise en charge de la communication HTTPS et des capacités supplémentaires pour transmettre des informations sur chaque application installée sur l’appareil ainsi que pour exfiltrer certaines données des applications de messagerie et de courrier électronique sécurisés comme ProtonMail et Signal.

À noter que le malware lui-même ne permet pas aux attaquants de lire le contenu des messages cryptés reçus par ProtonMail ou Signal ; il vole plutôt les pièces jointes une fois qu’elles sont enregistrées dans le stockage de l’appareil.

Un porte-parole de ProtonMail a confirmé à The Hacker News que son application iOS ne stocke pas les courriels décryptés dans la mémoire de l’appareil ; au lieu de cela, lorsqu’un utilisateur ouvre un courriel, celui-ci est décrypté et seulement stocké dans la mémoire pendant le court laps de temps où l’utilisateur a l’écran du message ouvert.

Cela dit, il est important de se rappeler qu’une fois qu’un appareil est compromis, il devient de plus en plus difficile de protéger les données stockées localement. C’est pourquoi nous recommandons aux utilisateurs d’activer la protection PIN/TouchID/FaceID dans les paramètres de l’application ProtonMail. Cela ajoute un niveau de protection supplémentaire important », a déclaré le service de courrier électronique crypté de bout en bout.

« Comme indiqué en septembre 2019, Volexity soupçonnait que les attaquants du « Evil Eye » avaient également ciblé les iPhones en se basant sur le fait que les serveurs C2 des attaquants s’étaient éteints peu après que les conclusions du Projet Zéro aient été rendues publiques », ont conclu les chercheurs.

« Ces découvertes plus récentes confirment le soupçon que les agresseurs étaient en effet probablement les mêmes. Il peut maintenant être confirmé qu’au cours des six derniers mois, les sites ouïghours ont généré des logiciels malveillants pour toutes les principales plateformes, ce qui représente un effort considérable de développement et d’entretien de la part des attaquants pour espionner la population ouïghoure ».

« Volexity a également noté que le malware n’a pas de mécanisme de persistance. Cela indique que les attaquants doivent travailler rapidement pour obtenir les données qu’ils veulent d’un appareil avant qu’il ne redémarre, ou qu’ils peuvent potentiellement compter sur la capacité de réinfecter un téléphone ».