애플이 상업용 익스플로잇 판매자가 개발한 정교한 스파이웨어로 이집트 대선 후보의 아이폰을 감염시키는 데 사용된 강력한 iOS 제로데이 체인을 패치했다고 구글과 시티즌 랩(Citizen Lab) 연구원들이 금요일 밝혔습니다.
Apple이 목요일에 패치한 이전에 알려지지 않은 취약점은 클릭 없는 공격에 악용되었습니다. 즉, 대상이 더 안전한 HTTPS 대안이 아닌 HTTP 프로토콜을 사용하는 웹 사이트를 방문하는 것 외에 다른 조치를 취하도록 요구하지 않았습니다. 이집트의 셀룰러 네트워크에 있는 패킷 검사 장치는 대상 후보의 전화 연결을 감시하고, 발견되면 익스플로잇 체인을 전달하는 사이트로 리디렉션했다고 이집트의 연구 그룹인 Citizen Lab이 밝혔습니다. 토론토 대학의 멍크스쿨.
악당들의 등장, 3개의 제로데이, 그리고 침해된 셀 네트워크
Citizen Lab은 이집트 정부의 참여, Cytrox라는 회사에서 판매하는 Predator로 알려진 스파이웨어, 이집트에 본사를 둔 Sandvine이 판매하는 하드웨어를 통해 공격이 가능했다고 밝혔습니다. 이 캠페인은 지난 3월 대통령 선거에 출마한다고 발표한 전 이집트 국회의원인 아흐메드 엘탄타위(Ahmed Eltantawy)를 표적으로 삼았습니다. Citizen Lab은 이번 공격이 Eltantawy의 iPhone이 적어도 세 번째 공격을 받았다고 말했습니다. 그 중 하나는 2021년에 성공하여 Predator도 설치했습니다.
“대통령 출마 의사를 밝힌 후 한 국가의 민주 야당 고위 의원을 표적으로 삼기 위해 용병 스파이웨어를 사용하는 것은 자유롭고 공정한 선거에 대한 명백한 간섭이며 표현, 집회 및 사생활의 자유에 대한 권리를 침해하는 것입니다.” Citizen Lab 연구원 Bill Marczak, John Scott-Railton, Daniel Roethlisberger, Bahr Abdul Razzak, Siena Anstis 및 Ron Deibert는 4,200 단어로 된 보고서를 작성했습니다. “또한 이는 용병 스파이웨어 회사가 판매를 공개적으로 정당화하는 방식과 직접적으로 모순됩니다.”
iOS 버전 16.7 및 iOS 17.0.1에서 패치된 취약점은 다음과 같이 추적됩니다.
- CVE-2023-41993: Safari에서 초기 원격 코드 실행
- CVE-2023-41991: PAC 우회
- CVE-2023-41992: XNU 커널의 로컬 권한 상승
금요일에 Google 위협 분석 그룹 구성원이 발표한 연구에 따르면, iOS 취약점을 악용한 공격자는 Android 기기에 동일한 Predator 스파이웨어를 설치하기 위한 별도의 악용도 가지고 있었습니다. 구글은 스스로를 DarkNavy라고 부르는 연구 그룹으로부터 보고를 받은 후 9월 5일에 결함을 패치했습니다.
Google Threat Analysis Group의 연구원인 Maddie Stone은 “TAG는 MITM 주입과 대상에 직접 전송되는 일회성 링크를 통해 이러한 공격이 두 가지 다른 방식으로 전달되는 것을 관찰했습니다.”라고 썼습니다. “우리는 CVE-2023-4762를 악용하는 Chrome의 초기 렌더러 원격 코드 실행 취약점만 얻을 수 있었습니다.”
공격은 복잡했다. 세 가지 별도의 iOS 취약점을 활용하는 것 외에도 Sandvine이라는 제조업체가 만든 하드웨어에도 의존했습니다. PacketLogic이라는 브랜드로 판매되는 이 하드웨어는 대상 iPhone이 액세스한 셀룰러 네트워크에 위치하여 그의 전화로 전달되는 트래픽을 모니터링했습니다. 정확성에도 불구하고 Citizen Lab은 Apple이 작년에 iOS에 추가한 Lockdown이라는 기능을 사용자가 켜면 공격이 차단된다고 말했습니다. 이에 대해서는 나중에 자세히 설명하겠습니다.
대상이 악성 코드를 호스팅하는 사이트를 방문할 때 자동으로 실행되는 것 외에는 iOS 익스플로잇 체인에 대한 정보가 거의 없습니다. 일단 거기에 도달하면 익스플로잇은 추가 사용자 작업 없이 Predator를 설치했습니다.
iPhone을 공격 사이트로 은밀하게 연결하려면 HTTP 사이트만 방문하면 됩니다. 지난 5년 정도 동안 HTTPS는 웹사이트에 연결하는 주요 수단이 되었습니다. HTTPS가 사용하는 암호화 기능은 중간 공격자가 사이트와 방문자 간에 전송되는 데이터를 모니터링하거나 조작하는 것을 방지하기 때문입니다. HTTP 사이트는 여전히 존재하며 때로는 HTTPS 연결이 암호화되지 않은 HTTP 연결로 다운그레이드될 수 있습니다.
Eltantawy가 HTTP 사이트를 방문하면 PacketLogic 장치는 익스플로잇 체인을 촉발한 사이트에 Apple 장치를 은밀하게 연결하는 트래픽에 데이터를 주입했습니다.
이번 공격에 설치된 페이로드인 프레데터(Predator)는 아르메니아, 이집트, 그리스, 인도네시아, 마다가스카르, 오만, 사우디아라비아, 세르비아 등 다양한 정부에 판매됐다. Citizen Lab은 Predator가 터키에 망명 중인 이집트 야당 회원이자 유명 뉴스 프로그램을 진행하며 익명을 유지하기를 원하는 이집트 망명 언론인인 Ayman Nour를 표적으로 삼는 데 사용되었다고 밝혔습니다. 작년에 Cisco Talo 보안 팀의 연구원들은 악성 코드의 바이너리를 획득한 후 악성 코드의 내부 작동 방식을 공개했습니다.