中國駭客組織再度監控維吾爾穆斯林,鎖定執行特定版本iOS裝置的族群下手
iThome, 2020年4月25日
藉由國家資助的駭客組織,中國政府監控少數民族的情況,去年有數起事件傳出,其中由Google揭露、為期長達2年的一系列監控行動,自8月公開後,駭客似乎就停止攻擊,但事隔不到半年,駭客再度有所行動。專精於記憶體鑑識的資安公司Volexity指出,他們於今年1月到3月,偵測到新一波間諜攻擊,由中國當局資助的Evil Eye駭客組織,濫用了較新版本iOS漏洞,並駭入6個網站做為媒介,來感染瀏覽網站的使用者,目標是監控維吾爾族穆斯林的電子郵件與即時通訊對話內容。由於這些遭到濫用的漏洞,蘋果已經在去年7月推出的iOS 12.4版修補,因此他們呼籲使用者,假如iPhone或iPad執行的作業系統較為老舊,應該要趕快升級到新版來加以防堵。
這次駭客組織攻擊的對象,是執行iOS 12.3到12.3.2版裝置的用戶,而且無論受害者使用的瀏覽器是內建的Safari,還是自行安裝的Chrome或是Edge,只要瀏覽駭客竄改過的網站,都會被植入名為「失眠(Insomnia)」的惡意軟體,而遭到監控,其中,駭客鎖定的情蒐範圍,主要是當地有許多用戶使用的加密郵件軟體ProtonMail,以及加密即時通訊軟體Signal,當中的信件或是訊息內容。
在這起中國駭客監控維吾爾族穆斯林行動的攻擊途徑而言,使用者瀏覽已遭竄改的網站,駭客會先檢查瀏覽器環境,假如符合條件,他們就會解密惡意的JavaScript腳本,來準備滲透受害裝置。
接著,惡意JavaScript腳本會檢查裝置的iOS版本,一旦是12.3至12.3.2這幾個目標版本,駭客便會植入名為「失眠(Insomnia)」的惡意軟體,來監控使用者的電子郵件與即時通訊內容。
值得留意的是,為了避免與C&C中繼站的通訊內容被洩露,駭客使用了開放原始碼的Ironsquirrel框架,來加密與C&C中繼站之間的傳輸內容。
該公司也指出幾個他們發現被駭的當地網站,像是維吾爾學院(Uyghur Academy),以及中文版的維吾爾時報(Uighur Times)等。其中前者的網站裡,駭客的作案工具存在長達好幾個月。
根據蘋果針對存取App Store的裝置進行統計,仍有許多iOS裝置執行舊版作業系統,有30%的iPhone裝置執行iOS 12以下的版本,iPad的比例則有43%,接近一半。因此Volexity呼籲使用者,趕快升級新版作業系統,來減少遭到攻擊的危險。
中國駭客透過網站與iOS漏洞來監控新疆的穆斯林,其實已經不是第一次。去年8月,Google於2019年初發現,中國駭客組織正在監控維吾爾穆斯林,其利用的手法,就是舊版iOS 10.0.1到12.1.2的漏洞,在合法網站植入惡意程式,來暗中監控瀏覽網站的使用者,期間長達2年以上,前後總共發動至少5波攻擊,使得蘋果後來出面澄清,宣稱影響範圍並未如Google所述的嚴重。後來,這起攻擊事件中,還出現了意圖監控Windows與Android裝置的惡意軟體。