24 wrz 2015

XcodeGhost i największy jak dotąd cyberatak na Apple App Store powiązany z CIA?

0

W ubiegłym tygodniu chińscy badacze bezpieczeństwa ujawnili informację o 39 aplikacjach na iOS z Apple App Store zainfekowanych oprogramowaniem malware, które nazwali XcodeGhost. Złą wiadomością jest to, że infekcja tego typu została wykryta przez badaczy bezpieczeństwa z FireEye już w ponad 4000 (!) aplikacji ze sklepu Apple. XcodeGhost to zmodyfikowane, szkodliwe i niebezpieczne oprogramowanie powstałe na bazie narzędzia programistycznego od Apple o nazwie Xcode. XcodeGhost potrafi przesyłać poświadczenia, zarażać inne aplikacje, przechwytywać adresy URL i wykradać hasła z iCloud. Zgromadzone dane szyfruje i przesyła na serwery C&C należące do atakującego, poprzez protokół HTTP, a wszystko to oczywiście dzieje się bez wiedzy użytkownika. Dotychczas badacze bezpieczeństwa odkryli trzy serwery C&C XcodeGhost o adresach:
  • http://init.crash-analytics.com
  • http://init.icloud-diagnostics.com
  • http://init.icloud-analysis.com

Przy okazji warto wspomnieć o tym, iż domena icloud-analysis.com została wykorzystana już wcześniej przez malware o nazwie KeyRaider, które z zainfekowanych urządzeń wykradało m.in informacje o kontach Apple.

Na liście zainfekowanych aplikacji znalazła się jedna z najbardziej popularnych narzędzi do przesyłania wiadomości, mianowicie WeChat, ponadto Perfect365 (edytor zdjęć), NetEase (strumieniowe przesyłanie muzyki), CamCard (skanowanie kart) itd. Wiemy już nieco więcej, ale czy jest to zwyczajne oprogramowanie złośliwe czy też sprytne narzędzie opracowane przez amerykańską agencję wywiadowczą CIA?

Technika stosowana przez malware XcodeGhost jest podobna do tej opracowanej przez Centralną Agencję Wywiadowczą (CIA). The Intercept w artykule z 10 marca tego roku, powołując się na dokumenty przekazane od Edwarda Snowdena, napisał, że CIA w szczególny sposób manipulowała narzędziem Xcode, aby dodawać backdoory w systemie iOS od Apple, nawet bez wiedzy twórców aplikacji. Brzmi znajomo, prawda? Aplikacje tego typu, zbudowane przy użyciu zmodyfikowanej wersji Xcode mogą umożliwić kradzież haseł i przechwytywanie wiadomości z zainfekowanych urządzeń, jak również mogą wysłać te dane do centrali agencji. Technologia ta, według informacji pozyskanych przez The Intercept, została przedstawiona na jednym z niejawnych zgromadzeń CIA o kryptonimie Jamboree.

Umieszczone funkcje malware XcodeGhost w aplikacji NetEase
(źródło: http://drops.wooyun.org)
Zainfekowana XcodeGhost aplikacja NetEase wysyła poufne informacje na serwer
"init.icloud-analysis.com"
 
(źródło: http://drops.wooyun.org)

Wysyłanie przez XcodeGhost informacji na serwer C&C
 
(źródło: http://researchcenter.paloaltonetworks.com)

"Sukces" narzędzia XcodeGhost pokazał, że pomijanie kontroli certyfikatów i nabycie niezaufanego oprogramowania to dość normalna praktyka, nawet dla uznanych producentów aplikacji z milionami użytkowników. Apple zapewniło swoich klientów, że stara się usunąć zainfekowane aplikacje z App Store, ale wciąż nie odpowiedziało na pytania o to, czy było świadome o manipulacjach narzędzia Xcode przez CIA.

Lista 25 najbardziej popularnych, zainfekowanych aplikacji (źródło: https://www.apple.com/cn/xcodeghost/#english):
  • 58 Classified
  • Angry Bird 2
  • Baidu Music
  • Battle of Freedom
  • Call Me MT 2
  • CarrotFantasy
  • CarrotFantasy 2: Daily Battle
  • China Unicom Customer Service
  • Dark Dawn – Under the Icing City
  • DiDi Taxi
  • DuoDuo Ringtone
  • Encounter
  • Flush
  • Flush HD
  • Foreign Harbor
  • Gaode Map
  • Heroes of Order & Chaos
  • Himalaya FM
  • I Like Being With You
  • Let’s Cook
  • Miraculous Warmth
  • NetEase Music
  • One Piece
  • Railroad 12306
  • WeChat


Hashe złośliwych plików zawierających malware XcodeGhost:
89c912d47165a3167611cebf74249f981a4490d9cdb842eccc6771ee4a97e07c  CoreServices
b1f567afbf02b6993a1ee96bfdb9c54010a1ad732ab53e5149dda278dd06c979  CoreServices
f5a63c059e91f091d3f1e5d953d95d2f287ab6894552153f1cf8714a5a5bed2d  CoreServices
2fde065892a8f1c9f498e6d21f421dbc653888f4102f91fc0fa314689d25c055  Xcode_6.2.dmg
c741af30aef915baa605856a5f662668fba1ae94a8f52faf957b8a52c8b23614  Xcode_6.4.dmg

Kod źródłowy narzędzia XcodeGhost został umieszczony na GitHub:

Techniczna analiza narzędzia (niestety po chińsku):

Apple opublikowało instrukcję dla programistów celem weryfikacji wersji oprogramowania Xcode:


Źródło:
https://theintercept.com/2015/09/22/apples-app-store-infected-type-malware-cia-developed
http://researchcenter.paloaltonetworks.com/2015/09/malware-xcodeghost-infects-39-ios-apps-including-wechat-affecting-hundreds-of-millions-of-users
https://thehackernews.com/2015/09/ios-malware-cyber-attack.html
www.apple.com

0 komentarze:

Publikowanie komentarza

 
Do korespondencji zalecamy nasz klucz PGP.
Design by ThemeShift