freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

这帮人黑了13台iPhone,计划败露甩锅俄罗斯黑客……
2018-07-23 09:30:32

有关这件事情,相信很多人会跟Magiccc想的一样,到底是咖喱不好吃还是摩托车不好玩,费劲心思黑掉13台iPhone的印度黑客,到底想干嘛?这个问题,苹果公司也很想知道……

就在上周,Cisco Talos团队在博客上更新了一篇有关印度黑客黑掉13部iPhone手机的稿子。期初Magiccc并没在意,毕竟这手段哈马斯已经玩的不要了(巴以冲突再升级,这次导火索竟然是一款交(yue)友(pao)APP )。但是,Cisco Talos团队竟然发现,这名印度黑客竟然故意留下俄罗斯邮箱,企图甩锅给俄罗斯黑客,从而达到抽身的目的。

面对如此骚操作,Cisco Talos团队果断上报苹果总部 OTL

搜印度黑客,Google给了这张图 

所以,这名印度黑客到底想干什么呢?下面这个视频,让Magiccc有了一个大胆的猜想……

YouTube上搜索iPhone  India,该视频播放量高达两千万 

黑客瞄准的可能是印度社会精英

Business Insider(美国金融与商业权威媒体)在上周发表了一篇有关《研究人员发现拥有iPhone或iPad是猜测你是否富裕的第一种方式》的报道,文章中引用了全球四大市场研究机构之一的GfK Mediamark Research&Intelligence的一项调查数据:

在美国,如果你有苹果iPhone或iPad,这是一个很好的迹象,表明你赚了很多钱。而在上个世纪九十年代初,Grey Poupon家的芥末则是美国富裕家庭的象征。

当然,Business Insider应该指的是拥有最新一代iPhone 

而在YouTube上,除了开头的视频外,还有一个更夸张的短片,主人公为了获得一部iPhone X,甚至将自己家的冰箱、洗衣机、电视机等所有家当全部卖了......

那么,在印度,一部 iPhone到底意味着什么呢?

Mizuho 分析报告表示,一部iPhone 6S可以做很多事情 

在印度购买一台 iPhone 6s 的价格,等同于一个普通家庭:

4年的水电费,4年的网费,4年的手机话费,1年的日常杂物开支,1年的加油费,半年的车贷,4个月 K-12 学校学费,5张全国往返机票……

与印度的平均本地工资相比,iPhone的负担能力指数低于0.25%。此外,报告显示,印度约75%的手机售价不到250美元,而95%的手机售价不到500美元。所以,售价接近1000美元的iPhone在印度是怎样的存在,可想而知……

售价4美元的印度神机,Ringing Bells Freedom 251

更有趣的是,在2016年11月,为打击贪污和洗黑钱,印度总理莫迪宣布了一项重大决定:

从当天午夜零时起,废除500和1000卢比两种大额纸币的流通,并将发行新的500和2000卢比纸币。这也是38年来,印度首次废除流通中的纸币,其中作废的两种旧纸币占到印度流通货币市场总值的85%!这就意味着,印度人手上的钱,将变成一张废纸。然后就出现了一个奇景:穷人挤银行,富人囤iPhone!

东方两大国,一个囤房,一个囤iPhone

印度贫富差距很大,大到什么程度,大家应该对GDP很熟悉,因为大家都有被平均的经历。而在印度,当前人均GDP为1700美元。但是!神奇的是超过80%的人口是在这个数值以下……

所以,Magiccc大胆的猜测,黑客瞄准的可能是印度社会精英!

谜一样的印度黑客并不简单

那么另一个问题来了,黑客不应该是在Steam上虐虐菜,偶尔黑下互联网巨头网站&APP什么的。干嘛要跟社会精英过不去......

根据Cisco Talos团队报道,印度黑客通过使用的移动设备管理服务器(Mobile Device Management,MDM),从而诱导用户安装被“精心处理”过的应用程序。MDM服务器通常被用于在企业环境中向员工提供某些自定义的应用程序,这些应用程序由于其敏感特性,无法通过iOS官方应用程序商店获得。 

而攻击者正是利用这个手段,并通过BOptions旁加载技术将恶意代码注入到应用程序的动态库中。这些恶意代码不但不会干扰手机的正常运行,而且应用程序本身还会实现其描述的功能。

Cisco Talos团队表示,这是一起“高度针对性”的黑客攻击活动,攻击者使用了一种至少自2015年8月以来就一直保持活跃的移动恶意软件。并且,攻击者就位于印度该国,重点是只有13部iPhone受到感染。

攻击者具体部署方法和整体工作流程图

攻击者共使用了四款应用程序的恶意版本,包括: WhatsApp,Telegram,PrayTime和MyApp。其中,WhatsApp和Telegram应用程序中的恶意代码可以收集和泄露来自受害者的数据,例如电话号码、序列号、位置、联系人、照片、短信以及WhatsApp和Telegram消息。 

有意思的是,攻击者在攻击过程中试图伪装成俄罗斯黑客,其MDM服务器所使用的证书包含了位于俄罗斯的电子邮件地址(mail.ru)。然而,Talos团队人员很快又发现,在MDM服务器上注册的测试设备带有一个印度电话号码,并且这个号码就注册于印度网络提供商Vodafone India......

下面是CiscoTalos团队针对攻击者留下的大量信息,进行的分析:

CA.crt:

Serial Number:

13905745817900070731 (0xc0fb222544ceb74b)

Issuer:C=CR,ST=Split,L=Split,O=NA,OU=IT,CN=ios-certificate-update.com/emailAddress=nicholas.vukoja@mail.ru 

Validity

Not Before: Sep 6 11:33:092017 GMT

Not After : Sep 6 11:33:092018 GMT Subject: C=CR, ST=Split, L=Split, O=NA, OU=IT,CN=ios-certificate-update.com/emailAddress=nicholas.vukoja@mail.ru

根据上述信息推断,该证书于2017年9月发布,其中包含位于俄罗斯的电子邮件地址。但是,调查显示攻击者并非基于俄罗斯。显然,这是印度黑客的手段。

Identity.p12:

Serial Number:

14177612590375883362(0xc4c0ff88e475d262)

Issuer:C=CR,ST=Split,L=Split,O=NA,OU=IT,CN=ios-certificate-update.com/emailAddress=Aleksi.Dushku@mail.ru

Validity

Not Before: Jan 6 04:59:562018 GMT

Not After : Jan 6 04:59:562019 GMT

Subject:C=CR,ST=Split,L=Split,O=NA,OU=IT,CN=ios-certificate-update.com/emailAddress=Aleksi.Dushku@mail.ru

另一个证书,通过使用mail.ru地址,指向俄罗斯黑客,达到误导分析师/研究人员的目的。

日志分析:

有关MDM的最有趣的信息之一,相关信息都可以在日志文件中找到:

根据序列号,推断有13部iPhone被感染

所有设备都位于印度(根据电话号码和电话提供商)

iOS版本:

10.2.1,10.3.1,10.3.2,10.3.3,11.0,11.0.3,11.2.1,11.2.5......

“高度针对性”的黑客攻击或将成为政府及企业的定时炸弹

虽然目前尚不得知印度黑客的动机是啥,但是让我们大胆的猜想一下,这13个人极可能为印度政府事业单位人员,或企业中高层管理人员。这群人都拥有一个共性,那就是掌握着极为关键的敏感数据。一旦信息泄露,所带来的影响,将无法估量!

而随着MDM在政府及企业中越来越受欢迎,我们更应该意识到,当我们选择在核心设备上安装其他证书以允许远程管理的方式,将给国家以及企业带来极大的安全隐患。因为在iOS可信证书之外的任何操作,都将成会第三方攻击我们的突破口。

而到了那个时候,这些精英人群手中使用的移动设备,都将成为威胁政府以及企业的定时炸弹……

最后,给大家分享一个彩蛋,孟买土豪购买iPhone X的正确方式:

虽然是很明显的炒作但是iPhone在印度的确是少数人的玩物

*本文作者:GEETEST极验,转载请注明来自FreeBuf.COM

# 黑客 # iphone # 俄罗斯 # 印度
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者