پویش watering-hole که بهتازگی کشف شده است با استفاده از لینکهای وبگاه مخرب کاربران آیفون اپل را در هنگکنگ هدف قرار میدهد تا در دستگاه آنها جاسوسافزار نصب کند. طبق پژوهشهای منتشرشده توسط ترندمیکرو و کسپرسکی، حملهی Operation Poisoned News از یک زنجیرهی بهرهبرداری از راه دور iOS استفاده میکند تا از طریق لینک دادن به وبگاههای خبری محلی، جاسوسافزار LightSpy را مستقر کند. با کلیک روی این لینکها بار دادهی بدافزار اجرا میشود و به یک interloper اجازه داده میشود تا دادههای حساس را از دستگاه آسیبدیده استخراج کند و حتی کنترل کامل آنها را به دست گیرد.
حملات watering-hole معمولاً به یک عامل بد اجازه میدهند تا با آلوده کردن وبگاههایی که از آنها بازدید میشود، گروه خاصی از کاربران نهایی را در معرض خطر قرار دهد تا به دستگاه آنها دسترسی پیدا کند. گفته میشود که گروه APT به نام TwoSail Junk از آسیبپذیریهای موجود در iOS 12.1 و ۱۲٫۲ شامل همهی مدلهای iPhone 6 تا iPhone X استفاده میکند.
این پویش از لینکهای جعلی ارسالشده در انجمنهای مختلف که همگی در بین ساکنان هنگکنگ محبوب هستند، استفاده میکند. کلیک روی آدرسهای اینترنتی کاربران را به رسانههای خبری قانونی که در معرض خطر قرار گرفتهاند و نیز وبگاههایی که بهطور خاص برای این پویش راهاندازی شدهاند، هدایت میکند. در هر دو حالت، از یک iframe مخفی برای بارگیری و اجرای کد مخرب استفاده میشود.
پژوهشگران ترندمیکرو بیان کردند که این آدرسهای اینترنتی استفادهشده برای هدایت کاربران به یک وبگاه مخرب توسط مهاجم ایجاد شده که حاوی سه iframe است که به سایتهای مختلف اشاره دارند. تنها iframe قابل مشاهده کاربران به یک وبگاه خبری قانونی هدایت میکند که آنها را متقاعد میکند که در حال بازدید از وبگاه موردنظر هستند. یک iframe غیرقابل مشاهده برای تجزیه و تحلیلهای وبگاه استفاده میشود. iframe دیگر نیز کاربران را به وبگاهی که میزبان اسکریپت اصلی بهرهبرداریهای iOS است، هدایت میکند.
این بدافزار از یک آسیبپذیری سافاری که بهطور مخفیانه وصله شده است، بهرهبرداری میکند که در زمان render شدن در مرورگر منجر به بهرهبرداری از یک آسیبپذیری استفاده پس از آزادسازی حافظه میشود. این آسیبپذیری به یک مهاجم اجازه میدهد تا کد دلخواه را با امتیازات root اجرا کند و درب پشتی LightSpy را نصب کند. این اشکال با انتشار iOS 12.3، macOS Mojave 10.14.5، tvOS 12.3 و watchOS 5.2.1 رفع شده است.
این جاسوسافزار تنها قادر به اجرای دستورات shell بهصورت از راه دور و دستیابی به کنترل کامل دستگاه نیست بلکه دارای انواع ماژولهای مختلف قابل بارگیری است که امکان استخراج دادههایی مانند فهرست تماس، مکان GPS، سابقهی اتصال Wi-Fi، دادهی سختافزاری، زنجیرههای کلید iOS، سابقهی مکالمههای تلفنی، تاریخچهی مرورگر سافاری و کروم و پیامهای کوتاه را فراهم میکند.
علاوهبرآن، LightSpy برنامههای پیامرسان مانند تلگرام، QQ و ویچت را برای سرقت اطلاعات حساب کاربری، مخاطبین، گروهها، پیامها و فایلهای پیوستشده هدف قرار میدهد.
پژوهشگران مشاهده کردند که سرورهای بارگیری و دستور و کنترل dmsSpy از همان نام دامنه بهعنوان یکی از watering holeهای استفادهشده توسط مؤلفهی iOS مربوط به Poisoned News استفاده کردند. برنامههای اندرویدی جعلی پس از نصب مخاطبین، پیامهای متنی، مکان کاربر و نام فایلهای ذخیرهشده را استخراج میکنند.
پژوهشگران کسپرسکی نتیجهگیری کردند که این چارچوب و زیرساخت خاص نمونهی جالبی از یک رویکرد چابک برای توسعه و استقرار چارچوب نظارتی در جنوبشرقی آسیا است. ترندمیکرو نیز اظهار داشت که هدف از طراحی و عملکرد این پویش در معرض خطر قرار دادن بسیاری از دستگاههای تلفن همراه است. برای مقابله با چنین تهدیداتی، لازم است که کاربران دستگاههای خود را بهروز نگه دارند و از بارگیری برنامههای اندرویدی جانبی از منابع غیرمجاز خودداری کنند.
