Sebuah kelompok hacker Cina telah ditemukan memanfaatkan metode peretasan baru di perangkat iOS untuk menginstal sebuah spyware yang menargetkan minoritas Muslim Uyghur di wilayah otonomi Xinjiang, Cina.
Temuan ini, yang diterbitkan oleh perusahaan forensik digital Volexity, mengungkapkan bahwa eksploit, yang bernama “Insomnia”, bekerja pada iOS versi 12.3, 12.3.1, dan 12.3.2 dengan menggunakan kerentanan di WebKit yang diperbaiki oleh Apple dalam rilisan iOS 12.4 pada bulan Juli 2019.
Volexity mengatakan peretasan itu dilakukan oleh kelompok hacker yang disponsori negara, yang dikenal sebagai Evil Eye, yang juga diduga merupakan aktor di balik serangkaian serangan terhadap Uyghur September lalu setelah pengungkapan bombshell oleh tim Project Zero Google.
Serangan Yang Menargetkan Website Uyghur
Distribusi malware yang sebelumnya mengeksploitasi sebanyak 14 kerentanan, mulai dari iOS 10 hingga iOS 12, selama setidaknya dua tahun melalui beberapa situs web berbahaya yang digunakan sebagai watering hole untuk meretas perangkat.
Menurut Volexity, Insomnia dimuat pada perangkat pengguna iOS menggunakan taktik yang sama, memberikan akses root pada penyerang, sehingga memungkinkan mereka untuk mencuri informasi kontak serta lokasi, dan pesan teks biasa dari berbagai pesan instan dan klien email, termasuk Signal dan ProtonMail.
Dalam laporannya, dikatakan bahwa setelah paparan tahun lalu, aktor Evil Eye menghapus kode berbahaya dari situs web yang disusupi dan meng-takedown infrastruktur server command-and-control (C2), sampai mengamati aktivitas baru di beberapa situs web Uyghur yang sebelumnya telah disusupi yang dimulai pada Januari 2020.
Patut diperhatikan bahwa WebKit adalah dasar untuk Safari dan browser pihak ketiga lainnya di iOS, seperti Google Chrome dan Firefox karena pembatasan yang diberlakukan oleh Pedoman Peninjauan App Store Apple (Bagian 2.5.6).
“Volexity dapat mengonfirmasi eksploitasi berhasil terhadap ponsel yang menjalankan 12.3.1 melalui browser seluler Apple Safari, Google Chrome, dan Microsoft Edge,” kata tim peneliti.
Serangan watering hole baru berhasil menyusupi enam situs web yang berbeda, salah satunya situs web Akademi Uyghur atau akademiye[.]org, yang ketika dikunjungi akan memuat Insomnia pada perangkat pengguna.
Baca juga: “Lebih Dari 267 Juta Profil Facebook Dijual Di Darkweb“
Spyware sekarang menargetkan ProtonMail dan Signal
Spyware yang digunakan tampaknya merupakan versi terbaru dari varian yang dirinci oleh grup keamanan Project Zero Google, dengan dukungan untuk komunikasi HTTPS dan kemampuan tambahan lainnya untuk mengirimkan informasi tentang setiap aplikasi yang diinstal pada perangkat serta mengekstrak data dari keamanan aplikasi email dan perpesanan seperti ProtonMail dan Signal.
“Seperti dicatat pada September 2019, Volexity mencurigai bahwa Evil Eye juga menargetkan iPhone berdasarkan server C2 para penyerang yang mulai offline tidak lama setelah temuan Project Zero dipublikasikan,” para peneliti menyimpulkan.
“Temuan yang lebih baru ini mengkonfirmasi kecurigaan bahwa penyerang memang kemungkinan sama. Sekarang dapat dikonfirmasi bahwa dalam enam bulan terakhir, situs Uyghur telah mendistribusikan malware untuk semua platform utama, mewakili perkembangan yang cukup besar dan upaya pemeliharaan oleh penyerang untuk memata-matai populasi Uyghur.”
