Недавно обнаруженный Согласно новому исследованию, мобильная вредоносная кампания против уйгурских мусульман также привлекла ряд высокопоставленных тибетских чиновников и активистов.
Исследователи по безопасности из Citizen Lab Университета Торонто говорят, что некоторые из тибетских целей были направлены специально настроенными вредоносными веб-ссылками на WhatsApp, который, когда его открыли, украдкой получил полный доступ к своему телефону, установил шпионское ПО и молча украл личную и конфиденциальную информацию.
Эксплойты разделяли «технические совпадения» с недавно раскрытой кампанией нацеленные на уйгурских мусульманугнетенное меньшинство в китайском государстве Синьцзян. Google в прошлом месяце раскрыл детали кампании, которая была нацелена на пользователей iPhone, но не сказала, кто был целью или кто стоял за атакой. Источники сообщили TechCrunch, что виноват Пекин. Apple, которая исправила уязвимости, позже подтвердила эксплойты целевые уйгуры,
Хотя Citizen Lab не уточнила, кто стоял за последним раундом атак, исследователи сказали, что та же группа, нацеленная как на уйгуров, так и на тибетцев, также использовала Android эксплойты. Эти подвиги, недавно раскрытый и подробный охранная фирма Volexity использовалась для кражи текстовых сообщений, списков контактов и журналов вызовов, а также для просмотра и прослушивания через камеру и микрофон устройства.
Это последний шаг в заметной эскалации нападений на группы этнических меньшинств, находящихся под наблюдением и подчинением со стороны Пекина. Китай давно заявляет о своих правах на Тибет, но многие тибетцы верны духовному лидеру страны, Далай-ламе. Правозащитные группы говорят, что Китай продолжает угнетать тибетский народ, как и уйгуры.
Пресс-секретарь китайского консульства в Нью-Йорке не возвратил электронное письмо с просьбой дать комментарий, но Китай уже давно отрицает попытки взлома, поддерживаемые государством, несмотря на постоянный поток доказательств обратного. Хотя Китай признал, что принял меры против уйгуров на материке, он вместо этого классифицирует его массовые принудительные задержания более миллиона китайских граждан, как Усилия по «перевоспитанию», претензии широко опровергнутый на западе.
Хакерская группа, которую Citizen Lab называет «Poison Carp», использует те же самые эксплойты, шпионское ПО и инфраструктуру для нападения на тибетцев, а также на уйгуров, включая должностных лиц в офисе Далай-ламы, парламентариев и правозащитные группы.
Билл Марчак, научный сотрудник Citizen Lab, сказал, что эта кампания стала «серьезной эскалацией» в попытках получить доступ к этим тибетским группам и саботировать их.
В его новое исследование Во вторник, поделившись информацией с TechCrunch, Citizen Lab сообщила, что на нескольких тибетских жертв напали вредоносные ссылки, отправленные в сообщениях WhatsApp лицами, претендующими на работу в Amnesty International и The New York Times. Исследователи получили некоторые из этих сообщений WhatsApp от TibCERT, тибетской коалиции для обмена разведданными об угрозах, и обнаружили, что каждое сообщение было разработано, чтобы обманом заставить каждую цель щелкнуть ссылку, содержащую эксплойт. Ссылки были замаскированы с помощью службы сокращения ссылок, позволяя злоумышленникам замаскировать полный веб-адрес, а также получить представление о том, сколько людей нажимало на ссылку и когда.
«Уловка была убедительной, – писали исследователи. В течение недельного периода в ноябре 2018 года жертвами, на которые были направлены жертвы, было выявлено более половины попыток заражения. Однако не все были заражены; все цели были запущены без уязвимого программного обеспечения iPhone.
Одно из специальных сообщений социальной инженерии, притворяющееся сотрудником Amnesty International, предназначенное для тибетских чиновников (Изображение: Citizen Lab / в комплекте)
Исследователи заявили, что нажатие на вредоносную ссылку, предназначенную для iPhone, вызовет цепочку эксплойтов, направленных на ряд уязвимостей, одну за другой, чтобы получить доступ к базовому, обычно запрещенному, программному обеспечению iPhone.
Цепочка «в конечном счете выполнила полезную нагрузку шпионского ПО, предназначенную для кражи данных из ряда приложений и услуг», говорится в отчете.
По завершении эксплуатации будет установлен шпионский имплант, позволяющий злоумышленникам собирать и отправлять данные на сервер управления и контроля злоумышленников, включая местоположения, контакты, историю вызовов, текстовые сообщения и многое другое. Имплантат также должен был бы удалять данные, такие как сообщения и контент, из жестко закодированного списка приложений, большинство из которых популярны среди азиатских пользователей, таких как QQMail и Viber.
яблоко исправил уязвимости несколькими месяцами ранее (в июле 2018 года); позже они были подтверждены как те же недостатки найден Google ранее в этом месяце.
«Безопасность данных наших клиентов является одним из важнейших приоритетов Apple, и мы очень ценим наше сотрудничество с такими исследователями, как Citizen Lab», – заявил TechCrunch представитель Apple. «Проблема iOS, подробно описанная в отчете, уже была обнаружена и исправлена группой безопасности в Apple. Мы всегда поощряем клиентов загружать последнюю версию iOS для лучших и самых современных улучшений безопасности ».
Между тем, исследователи обнаружили, что атаки на базе Android будут определять, какая версия Chrome запущена на устройстве, и будут использовать соответствующий эксплойт. Эти подвиги были раскрыты и «явно скопированы» из ранее выпущенного кода для проверки концепции, опубликованного их поисковиками на баг-трекерах, сказал Марчак. Успешная эксплуатация приведет устройство к открытию facebook-х встроенный браузер Chrome, который дает шпионскому имплантату доступ к данным устройства, используя огромное количество разрешений устройств Facebook.
По словам исследователей, код предполагает, что имплантат можно установить аналогичным образом, используя Facebook Messenger и приложения для обмена сообщениями WeChat и QQ, но он не работал в тестировании исследователей.
После установки имплантат загружает плагины с сервера злоумышленника для сбора контактов, сообщений, местоположений и доступа к камере и микрофону устройства.
Когда достигнуто, Google не комментировал. Facebook, который получил отчет Citizen Lab об эксплойте в ноябре 2018 года, не комментировал на момент публикации.
«С точки зрения противника то, что делает мобильный телефон привлекательной целью для шпионажа, очевидно», – пишут исследователи. «Именно на мобильных устройствах мы объединяем нашу онлайн-жизнь и гражданское общество, что также означает организацию и мобилизацию социальных движений, которые правительство может посчитать угрожающими».
«Вид внутри телефона может дать представление об этих движениях», – сказали они.
Исследователи также обнаружили еще одну волну ссылок, пытавшихся обмануть тибетского парламентария, чтобы он позволил вредоносному приложению получить доступ к своей учетной записи Gmail.
Citizen Lab считает, что угроза, связанная с кампанией мобильных вредоносных программ, «изменила правила игры».
«Эти кампании – первые документированные случаи использования iOS и программ-шпионов против этих сообществ», – пишут исследователи. Но атаки типа Poison Carp показывают, что мобильные угрозы «не ожидаются сообществом», о чем свидетельствуют высокие показатели кликов по ссылкам на эксплойты.
Секретарь TibCERT Гьяцо Ситер сказал, что целенаправленный характер этих атак представляет собой «огромную проблему» для безопасности тибетцев.
«Единственный способ смягчить эти угрозы – это совместный обмен информацией и повышение осведомленности», – сказал он.