Трите недостатъка от типа нулев ден, които Apple отстрани на 21 септември 2023 г., са били използвани като част от верига от експлойти за iPhone в опит да се достави шпионски софтуер, наречен Predator, насочен към бившия египетски депутат Ахмед Елтантауи между май и септември 2023 г.
„Таргетирането се осъществи, след като Елтантауи публично заяви плановете си да се кандидатира за президент на изборите в Египет през 2024 г.“, заявиха от Citizen Lab, като приписаха атаката с висока степен на доверие на египетското правителство поради това, че то е известен клиент на търговския шпионски инструмент.
Според съвместното разследване, проведено от канадската интердисциплинарна лаборатория и Групата за анализ на заплахите (TAG) на Google, се твърди, че наемният инструмент за наблюдение е бил доставен чрез линкове, изпратени по SMS и WhatsApp.
„През август и септември 2023 г. мобилната връзка на Eltantawy Vodafone Egypt е била постоянно избирана за насочване чрез мрежово инжектиране; когато Eltantawy е посещавал определени уебсайтове, които не използват HTTPS, устройство, инсталирано на границата на мрежата на Vodafone Egypt, автоматично го е пренасочвало към злонамерен уебсайт, за да зарази телефона му с шпионския софтуер Predator на Cytrox“, казват изследователите от Citizen Lab.
Веригата от експлойти е използвала набор от три уязвимости – CVE-2023-41991, CVE-2023-41992 и CVE-2023-41993 – които биха могли да позволят на злонамерен участник да заобиколи валидирането на сертификати, да повиши привилегиите си и да постигне отдалечено изпълнение на код на целеви устройства при обработка на специално създадено уеб съдържание.
Predator, произведен от компания на име Cytrox, е аналогичен на Pegasus на NSO Group, като позволява на клиентите си да наблюдават цели от интерес и да събират чувствителни данни от компрометирани устройства. Част от консорциум от доставчици на шпионски софтуер, наречен Intellexa Alliance, той е блокиран от правителството на САЩ през юли 2023 г. за „създаване на условия за провеждане на кампании за репресии и други нарушения на човешките права“.
Твърди се, че експлойтът, хостван в домейн на име sec-flare[.]com, е бил доставен, след като Eltantawy е бил пренасочен към уебсайт на име c.betly[.]me чрез сложна атака за инжектиране в мрежата, използвайки междинната кутия PacketLogic на Sandvine, разположена на връзката между Telecom Egypt и Vodafone Egypt.
„Тялото на уебсайта на местоназначението включваше два iframe, ID „if1“, който съдържаше очевидно доброкачествено съдържание за примамка (в този случай връзка към APK файл, който не съдържа шпионски софтуер), и ID „if2″, който представляваше невидим iframe, съдържащ връзка за заразяване с Predator, хоствана в sec-flare[.]com“, заявиха от Citizen Lab.
Изследователката от Google TAG Мади Стоун го характеризира като случай на атака тип „противник по средата“ (adversary-in-the-middle, AitM), която се възползва от посещение на уебсайт, използващ HTTP (за разлика от HTTPS), за да прихване и принуди жертвата да посети друг сайт, управляван от заплахата.
„В случая на тази кампания, ако целта отиде на някой „http“ сайт, нападателите инжектират трафик, за да я пренасочат безшумно към сайта на Intellexa, c.betly[.]me“, обяснява Стоун. „Ако потребителят беше очакваният целеви потребител, сайтът щеше да пренасочи целта към сървъра за експлоатиране, sec-flare[.]com.“
През септември 2021 г., май 2023 г. и септември 2023 г. Елтантауи получи три SMS съобщения, които бяха маскирани като предупреждения за сигурност от WhatsApp и го призоваваха да кликне върху връзка, за да прекрати подозрителна сесия за влизане, произхождаща от предполагаемо устройство с Windows.
Въпреки че тези връзки не съвпадат с пръстовия отпечатък на гореспоменатия домейн, разследването разкри, че шпионският софтуер Predator е бил инсталиран на устройството приблизително 2 минути и 30 секунди след като депутатът е прочел съобщението, изпратено през септември 2021 г.
Освен това на 24 юни 2023 г. и на 12 юли 2023 г. той получил две съобщения в WhatsApp, в които лице, представящо се за работещо за Международната федерация за правата на човека (FIDH), поискало мнението му по статия, която сочела към уебсайта sec-flare[.]com. Съобщенията са останали непрочетени.
Google TAG заяви, че е открила и верига от експлойти, която е използвала като оръжие недостатък в отдалеченото изпълнение на код в уеб браузъра Chrome (CVE-2023-4762), за да достави Predator на устройства с Android, използвайки два метода: инжектиране на AitM и чрез еднократни връзки, изпратени директно до целта.
CVE-2023-4762, уязвимост от тип объркване в енджина V8, беше анонимно докладвана на 16 август 2023 г. и поправена от Google на 5 септември 2023 г., въпреки че интернет гигантът смята, че Cytrox/Intellexa може да са използвали тази уязвимост като нулев ден.
Според краткото описание в Националната база данни за уязвимости (NVD) на NIST, CVE-2023-4762 се отнася до „объркване на типа във V8 в Google Chrome преди 116.0.5845.179 [което] позволява на отдалечен атакуващ да изпълни произволен код чрез изработена HTML страница“.
Последните констатации, освен че подчертават злоупотребата с инструменти за наблюдение с цел насочване към гражданското общество, подчертават „мъртвите точки“ в телекомуникационната екосистема, които могат да бъдат използвани за прихващане на мрежовия трафик и инжектиране на зловреден софтуер в устройствата на целите.
„Въпреки че през последните години бяха направени големи стъпки за „криптиране на мрежата“, потребителите все още понякога посещават уебсайтове без HTTPS, а едно посещение на уебсайт без HTTPS може да доведе до заразяване с шпионски софтуер“, заявиха от Citizen Lab.
На потребителите, които са изложени на риск от заплахи от шпионски софтуер поради това „кои са или с какво се занимават“, се препоръчва да поддържат устройствата си в актуално състояние и да активират Lockdown Mode на iPhone, iPad и Mac, за да предотвратят подобни атаки.