Iphone DarkSword
A Lookout Threat Lab egy új generációs mobil kiberfenyegetésre hívja fel a figyelmet, amely jól mutatja, hogy a fejlett iOS exploitok már nem kizárólag célzott hírszerzési műveletek eszközei, hanem egyre inkább széles körben alkalmazott, iparosított támadási platformokká válnak.
A DarkSword lényegében egy teljes iOS exploit lánc, amely több sérülékenységet kombinálva képes teljes kompromittálást elérni iPhone eszközökön. A támadás különlegessége, hogy a teljes exploit folyamat JavaScript-alapú komponensekre épül, így a fertőzés tipikusan egy rosszindulatú weboldal meglátogatásával indul el, gyakran watering hole technikával, ahol legitim, de kompromittált weboldalak szolgálnak terjesztési pontként.
A támadók a Safari/WebKit komponens sérülékenységeit kihasználva kezdeti kódfuttatást érnek el, majd további exploitokkal sandbox escape-et és végül kernel szintű hozzáférést biztosítanak. A Lookout elemzése szerint a lánc akár hat különböző sérülékenységet is kombinál, ami jól mutatja a támadás technikai komplexitását és fejlettségét.
A sikeres kompromittálás után a támadók rendkívül széles körű adatgyűjtésre képesek. A megszerezhető adatok közé tartoznak az üzenetek, e-mailek, kontaktlisták, fájlok, hitelesítési adatok, valamint kriptotárcákhoz kapcsolódó információk is. A malware képes ezeket az adatokat perceken belül exfiltrálni, majd eltüntetni a nyomokat, ami jelentősen megnehezíti a detekciót és az utólagos forenzikai elemzést.
A DarkSword egyik legfontosabb jellemzője az úgynevezett hit-and-run működési modell. A támadók nem feltétlenül tartós hozzáférést építenek ki, hanem gyorsan megszerzik a magas értékű adatokat, majd megszakítják a kapcsolatot. Ez a megközelítés különösen veszélyes, mivel minimális nyomot hagy, és gyakran észrevétlen marad.
A kampányok mögött több különböző szereplő is azonosítható. A kutatások szerint állami kötődésű csoportok, az UNC6353 mellett kereskedelmi megfigyelési eszközöket fejlesztő vállalatok is használják az exploit láncot, ami egyértelműen jelzi az exploitok piacosodását. A DarkSword több országban is megjelent, köztük Ukrajnában, Törökországban és Szaúd-Arábiában, ami geopolitikai és pénzügyi motivációk együttes jelenlétére utal.
Stratégiai szempontból a DarkSword jelentősége túlmutat egyetlen malware-en. A Lookout szerint ez az eset bizonyítja, hogy kialakulóban van egy másodlagos exploit piac, ahol fejlett támadási láncok különböző szereplők között cserélnek gazdát. Ez a trend csökkenti a belépési küszöböt, és lehetővé teszi, hogy korábban kizárólag állami szinten elérhető képességek szélesebb körben is megjelenjenek.
