Mac-Zero-Day zielt auf Apple-Geräte in Hongkong

  • Google-Forscher haben einen weit verbreiteten Watering-Hole-Angriff beschrieben, bei dem eine Hintertür auf Apple-Geräten installiert wurde, die in Hongkong ansässige Medien und pro-demokratische Websites besuchten.

    Mindestens seit Ende August haben Angreifer Schwachstellen in macOS und iOS ausgenutzt – darunter auch eine Zero-Day-Schwachstelle -, um eine Hintertür auf den Apple-Geräten von Nutzern zu installieren, die in Hongkong ansässige Medien und pro-demokratische Websites besuchten.

    Es handelt sich nicht um eine gezielte, aber doch um eine ausgeklügelte Kampagne. Laut einem am Donnerstag veröffentlichten Bericht der Threat Analysis Group (TAG) von Google wurde bei dem Angriff wahllos Malware auf iOS- oder macOS-Geräte eingeschleust, die das Pech hatten, auf die infizierten Websites zu stoßen.

    Mit anderen Worten: Die Bedrohungsakteure schleusten Malware in die legitimen Websites eines Medienunternehmens und einer pro-demokratischen Gewerkschafts- und politischen Gruppe in Hongkong ein, so TAG.

    Registrieren Sie sich jetzt für unsere LIVE-Veranstaltung!

    Dem TAG-Bericht zufolge wurden die Geräte der Opfer mit einer Zero-Day-Lücke und einem weiteren Exploit infiziert, der eine zuvor gepatchte Sicherheitslücke für macOS nutzte, um eine Hintertür auf ihren Computern zu installieren.

    Wahrscheinlich das Werk von staatlich unterstützten Angreifern

    TAG spekuliert in der Regel nicht über die Urheberschaft und sagte, dass in diesem Fall keine ausreichenden Beweise vorlägen, um den Bedrohungsakteur definitiv zu identifizieren.

    Aber nach dem, was das Team sehen konnte, glauben sie, dass die Angreifer wahrscheinlich vom Staat unterstützt werden.

    “Basierend auf unseren Erkenntnissen glauben wir, dass es sich bei diesem Bedrohungsakteur um eine gut ausgestattete Gruppe handelt, die wahrscheinlich vom Staat unterstützt wird und aufgrund der Qualität des Nutzdatencodes Zugang zu einem eigenen Softwareentwicklungsteam hat”, schreibt Erye Hernandez, der Google-Forscher, der die Kampagne entdeckt hat. “Die Nutzlast scheint ein Produkt umfassender Softwareentwicklung zu sein.

    Hernandez war auch einer der TAG-Forscher, denen die ursprüngliche Entdeckung der verwendeten Zero-Day-Lücke zugeschrieben wird: CVE-2021-30869, ein Type-Confusion-Problem, das Apple im September mit einer “verbesserten Zustandsbehandlung” gepatcht hat, wie das Unternehmen damals mitteilte. In der Mitteilung vom September wurde auch darauf hingewiesen, dass Apple über Exploits in freier Wildbahn informiert war.

    Es handelte sich um eine schwerwiegende Sicherheitslücke: Sie erlaubt es einer bösartigen App, beliebigen Code mit Kernel-Rechten in macOS Catalina auszuführen. Die Nutzlast wurde offenbar so eingerichtet, dass sie auch macOS Mojave (10.14) angreift, wobei zunächst geprüft wurde, welche Betriebssystemversion verwendet wurde, bevor die Exploits gestartet wurden. TAG sagte jedoch, dass sie beim Besuch einer manipulierten Website, die Mojave verwendet, nur Reste eines Exploits sahen. Als sie die Website mit Catalina besuchten, sahen sie den vollen Umfang – die gesamte unverschlüsselte Exploit-Kette.

    Im Fall der auf Hongkong ausgerichteten Kampagne führte der Exploit zur Installation einer Backdoor, die eine atemberaubende Liste von Überwachungsmöglichkeiten bietet, darunter die Erfassung der Fingerabdrücke der Geräte der Opfer, Bildschirmaufnahmen, das Herunter- und Hochladen von Dateien, die Ausführung von Terminalbefehlen, Audioaufnahmen und Keylogging.

    Links zu China

    Von China unterstützte Bedrohungsakteure sind dafür bekannt, Zero-Days zu nutzen, um ausgeklügelte, weitreichende und ungezielte Angriffe auf breite Bevölkerungsschichten zu konstruieren, darunter auch Kampagnen, die sich gegen die muslimische Minderheit der Uiguren in Xinjiang richten.

    Googles Project Zero brachte 2019 eine solche Kampagne ans Licht, nachdem es eine kleine Sammlung kompromittierter Websites entdeckt hatte. Die über zwei Jahre andauernde Kampagne nutzte in ähnlicher Weise Schwachstellen – zwei davon waren Zero-Days, darunter ein iPhone-Zero-Day, in einer Angriffskette, die auf insgesamt 14 Schwachstellen beruhte – für wahllose Watering-Hole-Angriffe auf Website-Besucher.

    Außerdem berichtete die MIT Technology Review im Mai, dass Akteure, die für den chinesischen Geheimdienst arbeiten, eine Schwachstelle nutzten, die 2017 beim Hackerwettbewerb Tianfu Cup vorgestellt wurde, um Uiguren anzugreifen.

    Eine weitere Verbindung zu China ergibt sich aus dem Code, der auf Chinesisch geschriebene Zeichenfolgen enthält, wie der Apple-Produktforscher Patrick Wardle gegenüber Motherboard erklärte, nachdem er den Exploit-Code untersucht hatte. Außerdem befand sich der Befehls- und Kontrollserver, mit dem er verbunden war, in Hongkong.

    macOS Exploit-Nutzdaten

    Wie auch immer die Websites kompromittiert wurden, es wurden zwei iframes für iOS- und macOS-Exploit-Ketten angezeigt, die Exploits von einem vom Angreifer gesteuerten Server lieferten. Die TAG-Forscher waren nur in der Lage, den macOS-Exploit abzurufen.

    Die Exploit-Kette für macOS kombinierte eine Schwachstelle für die Remote-Code-Ausführung (RCE) in WebKit und den Zero-Day CVE-2021-30869.

    Hernandez erklärte, dass der Exploit an eine andere “in-the-wild”-Schwachstelle erinnerte, die zuvor von Ian Beer von Project Zero analysiert wurde. Und es stellte sich heraus, dass genau die gleiche Schwachstelle von der Cybersecurity-Forschungsgruppe Pangu Lab in einem öffentlichen Vortrag auf der zer0con21-Konferenz in China im April vorgestellt wurde, so TAG-Leiter Shane Huntley gegenüber Motherboard. Er wurde auch auf der Mobile Security Conference (MOSEC) im Juli vorgestellt, schrieb Hernandez – mit anderen Worten, nur ein paar Monate bevor er gegen Einwohner Hongkongs eingesetzt wurde.

    Die macOS-Nutzlast hatte mehrere Komponenten, die offenbar als Module konfiguriert waren, erklärte Hernandez, darunter ein Kernel-Modul zur Erfassung von Tastatureingaben sowie andere Funktionen, auf die die Binärdateien nicht direkt zugriffen, die aber möglicherweise in späteren Phasen der Angriffskette auf die Rechner der Opfer heruntergeladen wurden.

    Pegasus-ähnliche Nutzung von Zero Days für die Überwachung

    Die Vermutung von TAG, dass diese Kampagne von einem staatlich unterstützten Angreifer ausgeht, hat einen historischen Präzedenzfall, da Zero Days auf raffinierte Weise eingesetzt werden. Man denke nur an Kampagnen, bei denen das militärische Überwachungstool Pegasus der NSO Group zum Einsatz kam. Sowohl die Angriffe auf das Wasserloch in Hongkong als auch die Tools der NSO Group beruhen auf der Verwendung von Zero-Days, bevor Anbieter oder die Öffentlichkeit etwas davon erfahren.

    Im August wurde beispielsweise von Citizen Lab, einer Überwachungsorganisation für Cybersicherheit, die neue Zero-Day-Sicherheitslücke FORCEDENTRY erfolgreich gegen die iPhones bahrainischer Aktivisten eingesetzt, von denen sich einer zu diesem Zeitpunkt in London aufhielt.

    Möchten Sie die Kontrolle über die fadenscheinigen Passwörter zurückgewinnen, die zwischen Ihrem Netzwerk und dem nächsten Cyberangriff stehen? Darren James, Leiter der internen IT-Abteilung bei Specops, und Roger Grimes, Evangelist für datengesteuerte Verteidigung bei KnowBe4, zeigen Ihnen in der kostenlosen LIVE-Veranstaltung “Password Reset”, wie das geht: Kontrolle über Anmeldeinformationen erlangen, um Angriffe zu stoppen”, am Mittwoch, den 17. November um 14 Uhr ET. Gesponsert von Specops.

    Registrieren Sie sich JETZT für die LIVE-Veranstaltung!

    Einige Teile dieses Artikels stammen aus:
    threatpost.com