Как сообщает портал SecurityLab, хакеры использовали политические новостные сайты Гонконга для заражения компьютеров на macOS бэкдором путём использования двух уязвимостей, одна из которых была ранее неизвестна. Атаки на устройства начались по меньшей мере в апреле этого года. Тогда в сети появился эксплойт для уязвимости нулевого дня, однако Apple исправила проблему только в сентябре.
Первая из двух уязвимостей CVE-2021-1789 — уязвимость удаленного выполнения кода в WebKit. Вторая CVE-2021-30869 — это уязвимость локального повышения привилегий в компоненте ядра XNU, которую исправили в сентябре. С их помощью злоумышленники получали на macOS привилегии суперпользователя и загружали на устройство шпионские программы MACMA или OSX.CDDS. Загруженные программы могут записывать аудио, делать скриншоты, загружать и выгружать файлы, записывать нажатия кнопок на клавиатуре, создавать отпечаток устройства для его идентификации и выполнять команды терминала.
Саму атаку обнаружили специалисты Threat Analysis Group (TAG) компании Google, которые и сообщили Apple о необходимости исправить уязвимость. Они также указали, что злоумышленники используют другую связку уязвимостей для атаки на iOS-устройства, но её пока не удалось распознать. Специалисты TAG рассказали, что за атаками хакеров стояла хорошо финансируемая группа, вероятно, работающая на правительство и имеющая доступ к собственной команде инженеров программного обеспечения.
Несмотря на то, что эксплойт для CVE-2021-30869 находится в открытом доступе с апреля, Apple очень долго не выпускала обновление для исправления уязвимости. О наличии проблемы сообщала не только Google, но и исследователи из Pangu Lab. Кроме того, эксплоит был представлен на Mobile Security Conference (MOSEC) в июле.
Согласно заметкам релиза сентябрьского обновления с исправлением уязвимостей, упомянутому ранее, полный список устройств, на которых закрыли CVE-2021-30869, включает iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, iPod touch (6-го поколения) под управлением iOS 12.5.5 и Mac с обновлением безопасности 2021-006 Catalina. Проблема исправлена в iOS 12.5.5, iOS 14.4 и iPad OS 14.4 и mac OS Big Sur 11.2. В обновлении также вышли патчи для уязвимостей нулевого дня, впервые обнаруженных в феврале (CVE-2021-1870, CVE-2021-1871, CVE-2021-1872), марте (CVE-2021-1879), мае (CVE-2021-30663, CVE-2021-30665, CVE-2021-30713, CVE-2021-30666) и июне (CVE-2021-30761 и CVE-2021-30762).
