Besucher bekannter Websites der Demokratie- und Arbeitsrechtebewegung in Hongkong sollen über mehrere Wochen mit Datenschädlingen auf ihren Macs und iPhones infiziert worden sein. Dabei wurde ein Zero-Day-Exploit im XNU-Kernel verwendet. Das berichtet die Threat Analysis Group (TAG) von Google.
Details zu der iOS-Malware liegen laut Google bislang nur teilweise vor. Es sei nicht gelungen, die komplette Infektionskette zu identifizieren, heißt es. Offenbar wurde hierbei ein älterer und bereits gepatchter Safari-Bug genutzt, um Code auszuführen (CVE-2019-8506). Unter macOS konnte die TAG jedoch die Funktionsweise des Angriffs aufdecken. Wer dahinter steckt, ist unklar – es wird ein staatlicher Akteur vermutet.
Vertrieben wurde die Malware laut Google über "Websites für ein Nachrichtenmedium" in Hongkong sowie eine "prominente prodemokratische politische Gruppierung", die sich auch für Arbeiterrechte einsetzt. Welche genau das waren, teilte die TAG nicht mit. Interessanterweise soll die XNU-Lücke samt Exploit bereits im April und Juli 2021 auf zwei Sicherheitskonferenzen präsentiert worden sein – vom chinesischen Jailbreak-Team Pangu Lab. Sie scheint zudem einem früheren XNU-Problem zu ähneln, das das Google Projekt Zero aufgedeckt hatte (CVE-2020-27932) und für das ein iOS-Exploit existierte. Warum Apple auf die Präsentationen im April und Juli nicht reagierte, ist unklar.
Quelle: heise
Apple reagierte langsam
Die Lücke ist mittlerweile geschlossen, Apple hatte für den XNU-BugDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
. Allerdings sollen die Bugs mindestens seit August 2021 ausgenutzt worden sein,
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
– wenn nicht sogar länger.Details zu der iOS-Malware liegen laut Google bislang nur teilweise vor. Es sei nicht gelungen, die komplette Infektionskette zu identifizieren, heißt es. Offenbar wurde hierbei ein älterer und bereits gepatchter Safari-Bug genutzt, um Code auszuführen (CVE-2019-8506). Unter macOS konnte die TAG jedoch die Funktionsweise des Angriffs aufdecken. Wer dahinter steckt, ist unklar – es wird ein staatlicher Akteur vermutet.
Vollzugriff aufs System
Der macOS-Malware-Stamm nennt sich hier "MACMA" oder auch "OSX.CDDS". Er erschleicht sich Root-Vollzugriff auf den betroffenen Systemen und nutzt dazu eine Kombination aus einem WebKit-Bug – der allerdingsDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
wurde (CVE-2021-1789) – und besagter XNU-Lücke. Die auf den Geräten entdeckte Spyware kommt mit einer Backdoor, die zahlreiche Möglichkeiten für die Angreifer bietet. Dazu gehört laut Google ein Fingerprinting des Geräts, das Aufnehmen von Screenshots, das Herunterladen (und Hochladen) von Dateien, das Ausführen von Terminal-Kommandos, die Aktivierung einer Audiowanze (Mikrofon angeschaltet) sowie ein Keylogging.Vertrieben wurde die Malware laut Google über "Websites für ein Nachrichtenmedium" in Hongkong sowie eine "prominente prodemokratische politische Gruppierung", die sich auch für Arbeiterrechte einsetzt. Welche genau das waren, teilte die TAG nicht mit. Interessanterweise soll die XNU-Lücke samt Exploit bereits im April und Juli 2021 auf zwei Sicherheitskonferenzen präsentiert worden sein – vom chinesischen Jailbreak-Team Pangu Lab. Sie scheint zudem einem früheren XNU-Problem zu ähneln, das das Google Projekt Zero aufgedeckt hatte (CVE-2020-27932) und für das ein iOS-Exploit existierte. Warum Apple auf die Präsentationen im April und Juli nicht reagierte, ist unklar.
Quelle: heise
