Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch gián điệp mạng "mới" nhắm vào người dùng ở Nam Á với mục đích cung cấp phần mềm gián điệp iOS của Apple có tên là LightSpy.
"Phiên bản mới nhất của LightSpy, được đặt tên là 'F_Warehouse', tự hào có một khuôn khổ mô-đun với các tính năng gián điệp mở rộng", Nhóm Nghiên cứu và Tình báo Mối đe dọa BlackBerry cho biết trong một báo cáo được công bố tuần trước.
Có bằng chứng cho thấy chiến dịch có thể đã nhắm mục tiêu vào Ấn Độ dựa trên các đệ trình của VirusTotal từ bên trong biên giới của nó.
Lần đầu tiên được ghi nhận vào năm 2020 bởi Trend Micro và Kaspersky, LightSpy đề cập đến một backdoor iOS tiên tiến được phân phối thông qua các cuộc tấn công watering hole thông qua các trang web tin tức bị xâm nhập.
Một phân tích tiếp theo từ ThreatFabric vào tháng 10/2023 đã phát hiện ra sự chồng chéo về cơ sở hạ tầng và chức năng giữa phần mềm độc hại và phần mềm gián điệp Android được gọi là DragonEgg, được cho là của nhóm quốc gia Trung Quốc APT41 (hay còn gọi là Winnti).
Vectơ xâm nhập ban đầu hiện chưa được biết đến, mặc dù nó bị nghi ngờ là thông qua các trang web tin tức đã bị vi phạm và được biết là được truy cập bởi các mục tiêu một cách thường xuyên.
Điểm khởi đầu là trình tải giai đoạn đầu hoạt động như một bệ phóng cho backdoor LightSpy cốt lõi và các loại plugin của nó được lấy từ một máy chủ từ xa để thực hiện các chức năng thu thập dữ liệu.
LightSpy là cả hai đầy đủ tính năng và mô-đun, cho phép các tác nhân đe dọa để thu thập thông tin nhạy cảm, bao gồm danh bạ, tin nhắn SMS, dữ liệu vị trí chính xác và ghi âm thanh trong các cuộc gọi VoIP.
Phiên bản mới nhất được phát hiện bởi công ty an ninh mạng Canada tiếp tục mở rộng khả năng đánh cắp tệp cũng như dữ liệu từ các ứng dụng phổ biến như Telegram, QQ và WeChat, dữ liệu iCloud Keychain và lịch sử trình duyệt web từ Safari và Google Chrome.
Khung gián điệp phức tạp cũng có khả năng thu thập danh sách các mạng Wi-Fi được kết nối, chi tiết về các ứng dụng đã cài đặt, chụp ảnh bằng camera của thiết bị, ghi lại âm thanh và thực hiện các lệnh shell nhận được từ máy chủ, có khả năng cho phép nó chiếm quyền kiểm soát các thiết bị bị nhiễm.
"LightSpy sử dụng ghim chứng chỉ để ngăn chặn việc phát hiện và chặn liên lạc với máy chủ chỉ huy và kiểm soát (C2) của nó", Blackberry nói. "Do đó, nếu nạn nhân ở trên một mạng nơi lưu lượng truy cập đang được phân tích, sẽ không có kết nối nào với máy chủ C2 được thiết lập."
Một cuộc kiểm tra sâu hơn về mã nguồn của cấy ghép cho thấy sự tham gia của những người nói tiếng Trung Quốc bản địa, làm tăng khả năng hoạt động do nhà nước tài trợ. Hơn nữa, LightSpy giao tiếp với một máy chủ đặt tại 103.27 [.] 109[.] 217, cũng lưu trữ bảng điều khiển quản trị viên hiển thị thông báo lỗi bằng tiếng Trung Quốc khi nhập thông tin đăng nhập không chính xác.
Sự phát triển này diễn ra khi Apple cho biết họ đã gửi thông báo đe dọa cho người dùng ở 92 quốc gia, tính cả Ấn Độ, rằng họ có thể đã bị nhắm mục tiêu bởi các cuộc tấn công phần mềm gián điệp lính đánh thuê.