Poboljšan LightSpy iOS zlonamjerni softver
LightSpy je napredni i prikriveni špijunski softver koji cilja na iOS uređaje i upravo je poboljšan, kako je otkrila kompanija za sajber bezbjednost ThreatFabric. Ovaj zlonamjerni softver predstavlja značajnu prijetnju korisnicima zbog svoje sposobnosti da prikupi obimne podatke i izvrši destruktivne radnje na pogođenim uređajima.
POBOLJŠANI LIGHTSPY
Zlonamjerni akteri već dugo ciljaju na iOS uređaje zbog njihove široke korisničke baze i uočenih sigurnosnih propusta. Uprkos robusnim bezbjednosnim mjerama kompanije Apple, zlonamjerni akteri uspijevaju da iskoriste nedostatke u operativnom sistemu i aplikacijama trećih strana, što im omogućava neovlašten pristup uređajima. LightSpy zlonamjerni softver koristi ove slabosti kako bi kompromitovao uređaje i omogućio zlonamjernim akterima pristup vrijednim korisničkim podacima koji se nalaze na njima.
Za razliku od zlonamjernih softvera dizajniranih za Android, macOS ili starije verzije iOS operativnog sistema, LightSpy zlonamjerni softver nije samo jedna datoteka već arhiva koja sadrži devet datoteka strukturiranih kao običan iOS paket. Osnovne komponente LightSpy zlonamjernog softvera uključuju:
- plist (manifest aplikacije),
- RootFS (dio jailbreak alata),
- CodeResources (datoteka sa podacima o potpisima za svaku datoteku unutar paketa),
- Jailbreakd (dio jailbreak alata),
- dylib (LightSpy Core biblioteka odgovorna za snimanje mikrofona),
- light (LightSpy Core),
- loadJailbreakd (dio jailbreak alata),
- p12 (potpisivanje fajl certifikata koji se koristi za bijelu listu test datoteke) i
- test (pomoćnu datoteku).
Jezgro se zasniva na nekoliko okvira kao što su HLNetworkReachability za provjeru dostupnosti Interneta, FMDB za kreiranje i pristup SQLite bazi podataka, SSZipArchive za raspakivanje dešifrovanih dodataka ZIP arhive i Libwebsockets za C2 komunikaciju. Tu LightSpy Core ima višestruku namjenu, od pružanje digitalnog otisaka uređaja (eng. fingerprinting), prenosa cjelokupne komunikacije sa kontrolnim serverom koristeći samo jezgro, do preuzimanje dodatnih modula po potrebi.
Najnovija verzija ozloglašenog LightSpy zlonamjernog softvera se značajno proširila u verziji 7.9.0, povećavši se sa originalnih 12 dodataka na impresivnih 28 različitih dodataka. Sedam od ovih novih dodataka je posebno dizajnirano sa destruktivnim mogućnostima koje ciljaju na rad uređaja. Ovo značajno proširenje funkcionalnosti čini ga još značajnijom prijetnjom u digitalnom prostoru u odnosu na prethodne verzije.
LightSpy dodaci
Zlonamjerni akteri koji stoje iza LightSpy zlonamjernog softvera pokazuju prilagodljivost u svojim kampanjama, koristeći različite skupove dodataka u zavisnosti od cilja. Jedna takva kampanja uključuje destruktivne dodatke koji mogu poremetiti stabilnost operativnog sistema uređaja, sa mogućnošću zamrzavanja uređaja ili čak sprečavanja njegovog pokretanja. Ove destruktivne karakteristike sugerišu nivo sofisticiranosti i resursa koji su na raspolaganju programerima koji stoje iza ovog zlonamjernog softvera.
Arhitektura zlonamjernog softvera se značajno proširila u verziji 7.9.0, povećavši se sa originalnih 12 dodataka na impresivnih 28 različitih dodataka. Ovi dodaci su dizajnirani da snime širok spektar osjetljivih podataka kao što su informacije o Wi-Fi mreži, snimci ekrana, detalji o lokaciji, iCloud Keychain akreditivi, zvučni snimci, fotografije, istorija internet pregledača, kontakti, istorija poziva i SMS poruke. Takođe prikupljaju informacije iz različitih aplikacija kao što su Files, LINE, Mail Master, Telegram, Tencent QQ, WeChat i WhatsApp. Štaviše, LightSpy dodaci su sposobni da generišu lažna push obavještenja koja sadrže određene internet adrese.
Pored toga, novi dodaci posjeduju destruktivne mogućnosti koje mogu da izbrišu medijske datoteke, SMS poruke, profile konfiguracije Wi-Fi mreže, kontakte i istoriju internet pregledača, kao i da zamrznu uređaje i spriječe njihovo ponovno pokretanje.
Distribucija i lanac napada
Zlonamjerni akteri koji stoje iza ovog zlonamjernog softvera su proširili podršku za iOS platformu, ciljajući do verzije 13.3. Oni koriste javno dostupnu Safari eksploataciju CVE-2020-9802 za početni pristup i CVE-2020-3837 za eskalaciju privilegija. Tačan mehanizam za distribuciju ovog špijunskog softvera je nejasan, iako se vjeruje da je orkestriran napadima vodenih rupa (eng. watering hole attack). U kampanji iz 2020. godine korišten je ovaj vektor napada, pa se pretpostavlja da se i distribucija ove verzije vrši na isti način.
Lanci napada koji distribuiraju zlonamjerni softver koriste poznate bezbjednosne propuste da bi pokrenuli WebKit eksploataciju (CVE-2020-9802), ispuštajući datoteku sa obmanjujućom ekstenzijom “.PNG”, koja sadrži Mach-O binarnu datoteku odgovornu za preuzimanje korisnih podataka sljedeće faze sa udaljenog servera, zloupotrebom greške u oštećenju memorije (CVE-2020-3837). Ovaj dvostruki pristup omogućava LightSpy zlonamjernom softveru da zaobiđe Apple bezbjednosne mjere i uspostavi uporište na zaraženim uređajima.
Porijeklo
Kampanje do danas nisu pripisane poznatom prijetnji ili grupi. Međutim, analiza je pokazala da destruktivne karakteristike LightSpy zlonamjernog softvera sugerišu nivo sofisticiranosti razvojnog tima, što ukazuje na najmanje tri programera na osnovu složenosti kôda.
Tehnički indikatori kao što je sistem preračunavanja koordinata “specifičan za Kinu” u dodatku za lokaciju i oznake kineskog jezika u Xcode datotekama zaglavlja snažno sugerišu da LightSpy zlonamjerni softver potiče iz Kine. Efikasnost ovog zlonamjernog softvera bila je djelimično ograničena ciklusima ažuriranja iOS operativnog sistema, ali korisnici u regionima pogođenim Kineskim Velikim zaštitnim zidom ostali su ranjivi zbog ograničenog pristupa ažuriranjima sistema.
ZAKLJUČAK
Kako sigurnosni istraživači nastavljaju da otkrivaju zamršenosti naprednog zlonamjernog softvera LightSpy za iOS operativni sistem, ključno je da korisnici ostanu oprezni i primjenjuju robusne bezbjednosne mjere kako bi zaštitili svoje uređaje od ovakvih prijetnji. Najnovija verzija LightSpy (7.9.0) pokazuje značajna poboljšanja u svojim destruktivnim sposobnostima, što ga čini strašnim protivnikom u digitalnom okruženju prijetnji.
Prošireni set dodataka omogućava ovom zlonamjernom softveru da uhvati još širi spektar osjetljivih informacija sa inficiranih uređaja, uključujući poruke, kontakte, podatke o lokaciji i još mnogo toga. Modularna priroda zlonamjernog softvera omogućava mu da se vremenom prilagodi i proširi svoje mogućnosti, a analiza sigurnosnih istraživala sugeriše da njegovi programeri imaju na raspolaganju resurse da nastave da usavršavaju i proširuju ovaj sofisticirani špijunski softver.
Dok bitka između zlonamjernih aktera i stručnjaka za sajber bezbjednost nastavlja da se razvija, korisnici moraju da ostanu na oprezu, da ažuriraju svoje uređaje i da budu svjesni potencijalnih prijetnji, tako što će razumjeti taktike zlonamjernih aktera i prilagoditi odbranu u skladu sa tim.
ZAŠTITA
Otkrivanjem poboljšane verzije LightSpy zlonamjernog softvera, od ključne je važnosti za pojedince i organizacije da preduzmu proaktivne mjere kako bi zaštitili svoju digitalnu imovinu. U nastavku slijedi nekoliko preporuka koje mogu pomoći pojedincima i organizacijama da ojačaju svoju odbranu od ovog moćnog špijunskog softvera:
- LightSpy zlonamjerni softver naglašava važnost održavanja ažurnog softvera na svim uređajima. Redovno ažuriranje operativnih sistema, aplikacija i bezbjednosnih rješenja osigurava posjedovanje najnovijih ispravki za poznate ranjivosti, što otežava zlonamjernim akterima da ih iskoriste,
- Instalirati renomirani bezbjednosni softver koji može pomoći u otkrivanju i sprečavanju infiltracije LightSpy zlonamjernog softvera na uređaju. Uvjeriti se da se izabrani softver redovno ažurira i da nudi zaštitu u realnom vremenu od zlonamjernog softvera, špijunskog softvera i drugih prijetnji,
- Primjenjivati oprez kod sumnjive elektronske pošte i veza, jer phishing napadi su uobičajeni metod za isporuku špijunskog softvera. Biti oprezan prilikom otvaranja elektronske pošte od nepoznatih pošiljalaca ili klikova na veze unutar njih. Ako elektronska pošta izgleda sumnjivo, provjetriti njenu autentičnost prije preduzimanja bilo kakvih radnji,
- Zaštititi svoju kućnu i radnu Wi-Fi mrežu korišćenjem jakih, jedinstvenih lozinki za rutere i omogućavanjem WPA2 Pored toga, onemogućavanje funkcionalnosti WPS (Wi-Fi Protected Setup) može pomoći u sprečavanju neovlaštenog pristupa mreži,
- Obratiti pažnju na dozvole koje zahtijevaju aplikacije pre nego što budu instalirane na uređaj. Potrebno je biti oprezan sa bilo kojom aplikacijom koja traži prekomjerne ili nepotrebne dozvole, jer to može biti znak zle namjere,
- Redovno praviti rezervne kopije podataka, jer one osiguravaju da se mogu oporaviti važni podaci u slučaju da uređaj bude ugrožen LightSpy zlonamjernim softverom ili drugim oblicima špijunskog softvera. Koristiti usluge skladištenja u oblaku ili eksterne čvrste diskove za čuvanje rezervnih kopija datoteka,
- Koristite virtualnu privatnu mrežu (eng. Virtual Private Network – VPN), jer VPN šifruje internet saobraćaj, što otežava zlonamjernim akterima da presretnu i nadgledaju korisničke aktivnosti na mreži. Ovaj dodatni sloj bezbjednosti može pomoći u zaštiti od LightSpy zlonamjernog softvera i drugih prijetnji koje ciljaju mrežne podatke,
- Važno je obrazovati se i biti informisan o najnovijim vestima i trendovima iz sajber bezbjednosti je od suštinskog značaja za zaštitu od novih prijetnji kao što je LightSpy zlonamjerni softver. Pratiti ugledne blogove o sajber bezbjednosti, forume i naloge na društvenim mrežama kako bi se ostalo informisanim o novim dešavanjima i najboljim praksama.
Primjenom ovih preporuka pojedinci i organizacije značajno mogu smanjiti rizik od toga da postanu žrtva LightSpy zlonamjernog softvera ili sličnih špijunskih napada. Važno je biti oprezan, proaktivan i davati prioritet bezbjednosti svojih digitalnih sredstava.