النسخة الجديدة من برنامج التجسس LightSpy تستهدف أجهزة iPhone بأساليب مراقبة متطورة
في تطور جديد في عالم الأمن السيبراني، اكتشف الباحثون نسخة محسّنة من برنامج التجسس المعروف باسم LightSpy، المخصص لنظام iOS من آبل. هذه النسخة لا تتوسع في الوظائف فحسب، بل تتضمن أيضًا قدرات تدميرية تهدف إلى منع الجهاز المخترق من التشغيل.
وفقًا لتحليل نشرته شركة ThreatFabric، تُظهر البيانات أن "أساليب تسليم البرمجيات الضارة لنظام iOS تشبه تلك المستخدمة في نظام macOS، لكن مراحل ما بعد الاستغلال وتصعيد الامتيازات تختلف بشكل كبير بسبب الفروق بين النظامين." هذه الفروقات تسلط الضوء على تعقيدات البرمجيات الضارة وطرق عملها.
توثيق وتاريخ LightSpy
ظهر برنامج LightSpy لأول مرة في عام 2020، حيث استهدف مستخدميه في هونغ كونغ. ويعتمد البرنامج على بنية ديناميكية تعزز من قدراته من خلال إضافات متنوعة تتيح له جمع مجموعة واسعة من المعلومات الحساسة من الأجهزة المصابة.
طرق الهجوم واستغلال الثغرات
تستفيد سلاسل الهجمات من ثغرات معروفة في أنظمة Apple iOS وmacOS لتفعيل استغلال WebKit. على الرغم من أن البرمجيات الضارة قد تظهر في شكل ملف بامتداد ".PNG"، إلا أنها في الحقيقة تستخدم ثنائي Mach-O لاسترجاع الحمولة التالية من خادم بعيد، عبر استغلال ثغرة فساد الذاكرة المعروفة باسم CVE-2020-3837.
المكونات الأساسية والإضافات
يتضمن LightSpy مكونًا يُعرف باسم FrameworkLoader، الذي يقوم بتحميل الوحدة الأساسية للبرنامج مع إضافاتها المتنوعة. في النسخة الأخيرة (7.9.0)، ارتفعت عدد الإضافات من 12 إلى 28، مما يعكس زيادة كبيرة في قدرات البرنامج.
بعد تشغيل الوحدة الأساسية، تتحقق من الاتصال بالإنترنت عبر المجال Baidu.com، وتتحقق من المعلمات المرسلة من FrameworkLoader كبيانات تحكم. كما تُنشئ الوحدة الأساسية مجلدات فرعية ضمن المسار
/var/containers/Bundle/AppleAppLit/ لتخزين السجلات وقاعدة البيانات والبيانات المسروقة.أنواع البيانات المستهدفة
يمكن للإضافات التقاط مجموعة واسعة من البيانات، بما في ذلك معلومات الشبكة اللاسلكية، لقطات الشاشة، الموقع، مفتاح iCloud، تسجيلات الصوت، الصور، سجلات التصفح، جهات الاتصال، سجلات المكالمات، والرسائل النصية. علاوة على ذلك، يجمع البرنامج معلومات من تطبيقات شهيرة مثل Files، LINE، Mail Master، Telegram، Tencent QQ، WeChat، وWhatsApp.
القدرات التدميرية والإشعارات الوهمية
تتميز بعض الإضافات الجديدة أيضًا بقدرات تدميرية، حيث يمكنها حذف ملفات الوسائط، الرسائل النصية، ملفات تكوين الشبكة، جهات الاتصال، وسجلات التصفح. أكثر من ذلك، تستطيع تجميد الجهاز ومنعه من التشغيل مرة أخرى. ومن المثير للاهتمام أن الإضافات يمكنها إنشاء إشعارات دفع وهمية تحتوي على عنوان URL محدد.
غموض وسائل التوزيع
رغم الجهود المبذولة لفهم كيفية توزيع برنامج التجسس، لا تزال هذه الوسائل غير واضحة. يُعتقد أنها تُدار عبر هجمات "حفر المياه"، لكن لم يتم بعد نسب هذه الحملات إلى جهة تهديد معروفة.
تشير الأدلة إلى أن المشغلين قد يكونون موجودين في الصين، حيث يعيد المكون المتعلق بالموقع حساب إحداثيات الموقع وفقًا لنظام يُستخدم حصريًا هناك، وهو نظام الإحداثيات GCJ-02.
أهمية التحديثات الأمنية
أوضحت شركة ThreatFabric أن "قضية LightSpy الخاصة بنظام iOS تبرز أهمية الحفاظ على تحديث الأنظمة." فقد أشار الباحثون إلى أن "المهاجمين الذين يقفون وراء LightSpy يراقبون عن كثب منشورات الأمن، ويعيدون استخدام الثغرات المكتشفة حديثًا لتوصيل الحمولات وتصعيد الامتيازات على الأجهزة المتأثرة."
في الختام، تعكس هذه القضية المخاطر المتزايدة في عالم الأمن السيبراني، وتؤكد على ضرورة الوعي والحذر في استخدام الأجهزة والتطبيقات.
