كشفت تقارير أمنية حديثة عن استغلال شركة “إنتلكس” (Intellexa) لتaught 15 ثغرة أمنية “يوم الصفر” (zero-day) منذ عام 2021، لاستهداف مستخدمي أنظمة التشغيل “آي أو إس” (iOS) و”أندرويد” (Android) حول العالم. وتواصل الشركة، المعروفة بتطوير برمجية التجسس “بريداتور” (Predator)، عملياتها رغم فرض عقوبات أمريكية عليها.
وتشير التحليلات إلى أن التهديدات لا تزال نشطة في دول متعددة، وقد سُجلت هجمات حديثة في كل من المملكة العربية السعودية، باكستان، مصر، ودول أخرى.
“إنتلكس” تستغل ثغرات يوم الصفر لاختراق أجهزة
باتت شركة “إنتلكس” من الشركات الرائدة في مجال برمجيات التجسس التي تستغل ثغرات يوم الصفر في متصفحات الهواتف المحمولة. وتستهدف الهجمات كلاً من أجهزة “آي أو إس” و”أندرويد” عبر روابط خفية تُرسل من خلال تطبيقات المراسلة المشفرة.
وتُظهر البيانات أن “إنتلكس” مسؤولة عن 15 استغلالًا لثغرات فريدة من بين حوالي 70 ثغرة يوم الصفر جرى اكتشافها منذ عام 2021. تشمل هذه الاستغلالات ثغرات تنفيذ التعليمات البرمجية عن بعد (RCE)، وثغرات الهروب من البيئة المعزولة (Sandbox Escape)، وثغرات تصعيد الامتيازات المحلية (LPE).
وأكدت الشركات المتضررة أنه تم سد جميع هذه الثغرات الأمنية.
آلية الانتشار والقدرات الخفية
وفقًا لباحثي الأمن في “جوجل كلاود” (Google Cloud)، تعتمد “إنتلكس” على شراء سلاسل استغلال من مصادر خارجية بدلًا من تطوير جميع أدواتها داخليًا. يسمح هذا النهج للشركة بالتكيف بسرعة عند إصدار التحديثات الأمنية.
تعمل الشركة من خلال واجهات خارجية لتجنب الكشف، وتواصل تقديم خدماتها لعملاء في جميع أنحاء العالم على الرغم من العقوبات الدولية المفروضة عليها.
يبدأ مسار الهجوم باستغلال ثغرة في متصفح “سفاري” (Safari) تحمل الرقم CVE-2023-41993. استُخدم إطار عمل يسمى JSKit للوصول إلى ذاكرة الجهاز وقراءتها وكتابتها. وقد ظهر هذا الإطار في حملات متعددة منذ عام 2021، بما في ذلك هجمات نفذتها مجموعات مدعومة من الحكومة الروسية.
تشير تحليلات الكود إلى أن الإطار مُصان جيدًا ويدعم إصدارات متعددة من نظام “آي أو إس”.
مراحل الهجوم
تتضمن المرحلة الثانية الهروب من البيئة المعزولة لمتصفح “سفاري” باستخدام ثغرات في النواة (Kernel)، وهي CVE-2023-41991 وCVE-2023-41992. تمنح هذه المرحلة وصولًا إلى ذاكرة النواة للحمولة في المرحلة الثالثة.
أما المرحلة النهائية، فتتضمن وحدتين هما “مساعد” (helper) و”مراقب” (watcher). تقوم وحدة “مراقب” بفحص الجهاز المصاب بحثًا عن أي نشاط مشبوه، مثل تفعيل وضع المطور، أو توصيل أدوات استكشاف الأخطاء وإصلاحها (debugging tools)، أو وجود إعدادات شبكة مخصصة.
إذا اكتشف أي مؤشرات تدل على وجود مواقع جغرافية مثل الولايات المتحدة أو إسرائيل، أو تطبيقات أمنية مثل McAfee أو Norton، أو أدوات تصحيح مثل Frida أو SSH، فإن الوحدة تنهي عملية الهجوم.
وتوفر وحدة “مساعد” وظائف برمجية تجسسية أساسية عبر أطر عمل مخصصة للتعامل مع الأحداث (hooking frameworks) تسمى DMHooker وUMHooker. تسمح هذه الأطر بتسجيل المكالمات الصوتية، والتقاط ضربات المفاتيح، والتقاط صور عبر الكاميرا.
كما تتدخل الوحدة في عملية تشغيل الواجهة الرسومية (SpringBoard) لإخفاء إشعارات تلك الإجراءات.