Spyware nutzte ungepatchte Apple-Lücke über Aktivisten-Websites in Hongkong
Seit August 2021 ist ein Datenschädling mit Root-Zugriff über einen Zero-Day-Exploit auf Macs und iPhones aufgespielt worden – inklusive Key- und Audio-Logging.
(Bild: Ronnie Chua/Shutterstock.com)
Besucher bekannter Websites der Demokratie- und Arbeitsrechtebewegung in Hongkong sollen über mehrere Wochen mit Datenschädlingen auf ihren Macs und iPhones infiziert worden sein. Dabei wurde ein Zero-Day-Exploit im XNU-Kernel verwendet. Das berichtet die Threat Analysis Group (TAG) von Google.
Apple reagierte langsam
Die Lücke ist mittlerweile geschlossen, Apple hatte für den XNU-Bug extra ein Sonderupdate für macOS Catalina sowie ältere iOS-Versionen am 23. September publiziert. Allerdings sollen die Bugs mindestens seit August 2021 ausgenutzt worden sein, heißt es in Googles Paper im TAG-Blog – wenn nicht sogar länger.
Details zu der iOS-Malware liegen laut Google bislang nur teilweise vor. Es sei nicht gelungen, die komplette Infektionskette zu identifizieren, heißt es. Offenbar wurde hierbei ein älterer und bereits gepatchter Safari-Bug genutzt, um Code auszuführen (CVE-2019-8506). Unter macOS konnte die TAG jedoch die Funktionsweise des Angriffs aufdecken. Wer dahinter steckt, ist unklar – es wird ein staatlicher Akteur vermutet.
Vollzugriff aufs System
Der macOS-Malware-Stamm nennt sich hier "MACMA" oder auch "OSX.CDDS". Er erschleicht sich Root-Vollzugriff auf den betroffenen Systemen und nutzt dazu eine Kombination aus einem WebKit-Bug – der allerdings bereits im Januar 2021 gepatcht wurde (CVE-2021-1789) – und besagter XNU-Lücke. Die auf den Geräten entdeckte Spyware kommt mit einer Backdoor, die zahlreiche Möglichkeiten für die Angreifer bietet. Dazu gehört laut Google ein Fingerprinting des Geräts, das Aufnehmen von Screenshots, das Herunterladen (und Hochladen) von Dateien, das Ausführen von Terminal-Kommandos, die Aktivierung einer Audiowanze (Mikrofon angeschaltet) sowie ein Keylogging.
Vertrieben wurde die Malware laut Google über "Websites für ein Nachrichtenmedium" in Hongkong sowie eine "prominente prodemokratische politische Gruppierung", die sich auch für Arbeiterrechte einsetzt. Welche genau das waren, teilte die TAG nicht mit. Interessanterweise soll die XNU-Lücke samt Exploit bereits im April und Juli 2021 auf zwei Sicherheitskonferenzen präsentiert worden sein – vom chinesischen Jailbreak-Team Pangu Lab. Sie scheint zudem einem früheren XNU-Problem zu ähneln, das das Google Projekt Zero aufgedeckt hatte (CVE-2020-27932) und für das ein iOS-Exploit existierte. Warum Apple auf die Präsentationen im April und Juli nicht reagierte, ist unklar.
(bsc)
