كشفت أبحاث أمنية حديثة عن سلسلة ثغرات “صفر يوم” (zero-day) جديدة على نظام تشغيل iOS، كانت تُستغل من قبل برمجيات تجسس تجارية خبيثة للتسلل إلى أجهزة المستخدمين المستهدفة ومراقبتها عن بعد وبشكل سري. تأتي هذه الثغرات وسط مخاوف متزايدة بشأن استخدام أدوات التجسس المتقدمة ضد أفراد ذوي مخاطر عالية.
وتشير الجهود البحثية، التي قادتها فرق تحليل التهديدات، إلى أن هذه العملية تقف وراءها شركة Intellexa، وهي بائع تجاري معروف لبرمجيات المراقبة. وقد تمكنت هذه البرمجيات من سلاسل متعددة من الثغرات غير المعروفة سابقاً، حيث يكفي نقر المستخدم على رابط واحد في متصفح Safari لتتمكن البرمجية الخبيثة من التسلل بالكامل إلى جهاز iPhone المستهدف.
وقد لوحظ أن حملات التجسس هذه تستهدف بشكل خاص نشطاء المجتمع المدني وشخصيات سياسية، مما يسلط الضوء على استمرار شركات برمجيات التجسس ذات التمويل الجيد في استغلال ثغرات المتصفحات والنواة (kernel) لشن عمليات مراقبة سرية وطويلة الأمد.
سلسلة ثغرات iOS Zero-Day وعمليات التجسس
تبدأ عملية الاختراق هذه بإرسال رابط خبيث فريد، غالباً ما يتم توزيعه عبر تطبيقات المراسلة المشفرة. عند قيام الهدف بفتح هذا الرابط في متصفح Safari، يقوم المستعرض بتحميل استغلال يستغل ثغرة تسمح بتنفيذ تعليمات برمجية عن بعد (Remote Code Execution)، والتي تم إصلاحها لاحقاً تحت المعرف CVE-2023-41993.
تستخدم المرحلة الأولى من الهجوم إطار عمل استغلال مشترك يُطلق عليه JSKit، ويهدف للوصول الشامل للقراءة والكتابة في معالج Safari، ثم تنتقل إلى تنفيذ التعليمات البرمجية الأصلية على أحدث إصدارات iOS. ويتكرر استخدام إطار العمل نفسه من قبل بائعين آخرين لبرمجيات التجسس وجهات فاعلة مدعومة من دول منذ عام 2021، مما يدل على وجود سوق نشط للمكونات القابلة لإعادة الاستغلال.
وقد تمكن باحثو الأمن السيبراني في Google Cloud من تحديد سلسلة الثغرات الكاملة أثناء استغلالها الفعلي على أجهزة في مصر، مؤكدين أن Intellexa أطلقت على هذه الثغرة داخلياً اسم “smack”، واستخدمتها لنشر برمجيات التجسس من عائلة Predator.
مراحل الاختراق وسلوك برمجيات التجسس
بعد اختراق المتصفح، تنتقل السلسلة إلى مرحلة ثانية قوية تقوم بالخروج من بيئة Safari المعزولة (sandbox) وترقية صلاحيات الوصول باستخدام ثغرات في النواة، وهما CVE-2023-41991 و CVE-2023-41992. تتيح هذه المرحلة قراءة وكتابة ذاكرة النواة لبرمجيات تجسس تُعرف بالاسم الرمزي PREYHUNTER.
تتكون PREYHUNTER من وحدات “مساعدة” (helper) ووحدات “مراقبة” (watcher). تتولى الوحدة المساعدة التحقق من الجهاز المستهدف، وتجنب التحليل الأمني، وتنفيذ مهام المراقبة الأولية مثل تسجيل المكالمات الصوتية، وتسجيل ضغطات المفاتيح، والتقاط الصور من الكاميرا، كل ذلك مع إخفاء الإشعارات عن المستخدم.
تتواصل الوحدة المساعدة لـ PREYHUNTER مع المكونات الأخرى عبر مقبس Unix (Unix socket) موجود في المسار /tmp/helper.sock، ثم تقوم بتثبيت نقاط ربط (hooks) للوصول إلى مسارات وخدمات حساسة. تمكّن هذه النقاط من التقاط الصوت، وتسجيل الإدخالات، وإجراء فحوصات سرية قبل تحميل برمجية التجسس Predator بالكامل.
من ناحيتها، تقوم وحدة المراقبة بفحص مستمر بحثاً عن علامات تشير إلى وجود عمليات بحث أمني أو تصحيح أخطاء. يشمل ذلك اكتشاف أوضاع المطورين، وأدوات كسر الحماية (jailbreak tools) مثل frida أو checkra1n، والتطبيقات الأمنية مثل McAfee أو Avast Mobile Security، وشهادات Root CA المخصصة، وعناوين IP الخاصة بالبروكسي (HTTP proxies).
في حال اكتشاف أي من هذه العلامات، تقوم السلسلة بإيقاف عملية الاختراق فوراً لتقليل البصمة الرقمية لعملية التحقيق الجنائي. يعكس هذا التوقيت الدقيق، المقترن بالوصول على مستوى النواة، نظاماً بيئياً متطوراً تتعاون فيه جهات تطوير الاستغلال، ووسطاء الثغرات، ومشغلو برمجيات التجسس للحفاظ على حملات المراقبة على iOS متخفية ومستمرة.