פאלו אלטו זיהתה פריצה לכ-225 אלף אייפונים

דרוג:

נוזקה במערכת ההפעלה של האייפון גנבה מעל ל-225 אלף חשבונות ויוצרת אפליקציית Utopia בחינם • פאלו אלטו מיוצגת בישראל באופן בלעדי על ידי אינוקום מקבוצת אמן

חברת המחקר הסינית WeipTech, שמורכבת ממשתמשי ומתכנתי אייפון, ניתחה לאחרונה חבילות פריצה לאייפונים שהתקבלו מדיווחים של משתמשים ומצאה מעל ל-225 אלף חשבונות אפל פעילים עם סיסמאות ששמורים על השרת. יחד עם WeipTech פאלו אלטו זיהתה 92 דוגמאות שונות ברחבי העולם למשפחת נוזקות ל-IOS (מערכת ההפעלה של האייפון). לאחר ניתוח הדוגמאות מצאה פאלו אלטו את מטרת מפיץ הנוזקות וכינתה אותה בשם KeyRaider. זוהי גניבת החשבונות הגדולה ביותר באפל שנוצרה מנוזקה.

 

נוזקת KeyRaider מכוונת לאייפונים פרוצים ומופצת דרך מאגרי צד שלישי של תוכנת Cydia (תוכנת פריצה למערכת האייפון) בסין. על פי המסתמן, האיום השפיע על משתמשים מ-18 מדינות: סין, צרפת, רוסיה, יפן, בריטניה, ארה"ב, קנדה, גרמניה, אוסטרליה, איטליה, ספרד, סינגפור, דרום קוריאה וגם ישראל.

 

הנוזקה פועלת כך שהיא מתלבשת על תהליכי המערכת באמצעות מערכת ה- MobileSubstrate, מסגרת הפעילות של תוכנת ה-Cydia, וגונבת שמות משתמשים וסיסמאות של לקוחות אפל, כמו גם את המזהה הייחודי הגלובלי (GUID) של הטלפון, על ידי כך שהיא קולטת את התנועה ב-iTunes שעל המכשיר. הנוזקה גונבת את הרשאות עדכוני ה-Push ואת המפתחות הפרטיים, גונבת ומשתפת את פרטי הרכישות בחנות האפליקציות של אפל, ומשביתה את פונקציות הפריצה המקומית והמרוחקת באייפונים ואייפדים.

 

על פי המסתמן, נוזקת KeyRaider הצליחה לגנוב מעל ל-225 אלף חשבונות אפל פעילים ואלפי הרשאות, מפתחות פרטיים וחשבוניות רכישה. לאחר מכן, הנוזקה מעלה את המידע הגנוב לשרת השליטה והבקרה שלה (C2), שהוא עצמו כולל נקודות תורפה שחושפות את נתוני המשתמשים.

 

מטרת המתקפה היתה לאפשר למשתמשים בעלי שתי חבילות פריצה ספציפיות ל-iOS להוריד אפליצקיות מחנות ה-App Store הרשמית ולבצע רכישות בתוך האפליקציות ללא לשלם בפועל. חבילות פריצה (Jailbreak Tweaks) הן חבילות תוכנה שמאפשרות למשתמשים לבצע פעולות שאינן אפשריות לרוב ב-iOS.

 

שתי חבילות פריצה אלו חוטפות את בקשת הרכישה של האפליקציה, מורידות חשבונות גנובים או רוכשים קבלות מתוך שרת ה-C2, ולאחר מכן מדמות את הפרוטוקול של ה-iTunes בכדי להתחבר לשרת של אפל ולרכוש אפליקציה או פריטים אחרים המבוקשים על ידי המשתמש. לחבילות הפריצה הללו יש מעל ל-20 אלף הורדות, מה שמביא להשערה כי כ-20 אלף גולשים משתמשים ב-225 אלף פרטי המשתמשים הגנובים.

 

חלק מקורבנות גניבת הזהויות דיווחו כי חשבונות אפל הגנובים שלהם הראו היסטורית רכישת אפליקציה לא רגילה. אחרים דיווחו כי הטלפונים שלהם נחסמו בתמורה לכופר. בגדול הנוזקה עובדת בשלושה מישורים שונים:

·         גניבת פרטי חשבונות של Apple (שם משתמש וסיסמה) כמו גם את המזהה הייחודי הגלובלי (GUID) – זאת נעשה על ידי השתלטות על הרשאות הפרטיות SSL של מערכת ה-iTunes של הטלפון. כאשר מערכת ה-App Store מבקשת מהמשתמש להכניס את הסיסמה שלו, המידע נשלח לשרת של אפל באמצעות תעודות SSL. הנוזקה מחפשת את הפעילות הזו וגונבת ממנה את המידע של המשתמשים. לאחר מכן המידע נשלח לשרת ה-C2 של התוקפים.

·         גניבת הרשאות ומפתחות פרטיים המשמשים את שירות התראות ה-Push של אפל – הנוזקה עושה זאת על ידי שהיא יוצרת הרשאות מזוייפות לשליחת התראות Push.

·         מניעה מנעילה של המכשיר הנגוע על ידי סיסמה או ענן ה-iCloud של אפל – במהלך חטיפת המידע הנוגע להתראות שמגיע משרת אפל, הנוזקה גם חוטפת את המידע הנוגע לנעילת המכשיר.

פאלו אלטו מספקת שירותים לזיהוי נוזקת ה-KeyRaider ולאיתור של פרטי משתמשים גנובים.

 

זיהוי הנוזקה

החל מיולי השנה, החלו להתקבל דיווחים כי חלק מחשבונות אפל שומשו ליצירת רכישות לא מורשות או להתקנת אפליקציות של אפל. על ידי בחינת חבילות פריצה, גילתה פאלו אלטו חבילה אחת שאספה מידע ממשתמשים והעלתה אותה לאתר לא לא צפוי. החברה מצאה שלאתר זה יש תורפת החדרת SQL טריוויאלית שמאפשרת גישה לכל הרשומות בבסיס הנתונים Top100.

 

בתוך בסיס הנתונים הזה, נמצאה טבלה בשם Aid שכללה 225,941 רשומות. לכ-20 אלף מתוכן היו שמות משתמשים, סיסמאות ומזהים ייחודים גלובליים בצורת טקסט פשוט, בעוד שאר הרשומות היו מוצפנות. על ידי הנדסה לאחור (Reverse Engineering) של חבילות הפריצה, מצאה החברה חתיכת קוד שמשתמשת בתקן ההצפנה המתקדם AES עם מפתח קבוע של mischa07. כך, ניתן לפענח את שמות המשתמשים והסיסמאות המוצפנות בשימוש במפתח סטטי. באופן זה הצליחה החברה לאשר כי רשימת שמות המשתמשים היו לקוחות אפל פעילים. חוקרי החברה זרקו כמחצית מכל הרשומות בבסיס הנתונים לפני שמנהל האתר זיהה אותם וסגר את השירות. הנתונים פורסמו בהרחבה באתר WeipTech בסוף אוגוסט

 

מניתוח ראשוני של הנתונים עלה כי חבילות הפריצה לא הכילו קוד זדוני שמאפשר לגנוב סיסמאות ולהעלותם לשרת ה-C2. עם זאת, ממידע נוסף עולה כי היתה נוזקה נוספת שאספה פרטים של משתמשים והעלתה אותם לשרת.

 

הפצת נוזקת KeyRaider

על פי בדיקות פאלו אלטו, הנוזקה מתפשטת רק דרך מאגרי Cydia עבור מכשירי iOS פרוצים. מאגר ה-Cydia בשם Weiphone מהווה מאגר פרטי בו משתמשים רשומים יכולים להעלות אליו אפליקציות באופן ישיר ולשתף חבילות פריצה עם משתמשים אחרים. משתמש אחד של המאגר הזה, בשם mischa07 העלה לפחות 15 דוגמאות שונות של נוזקת ה-KeyRaider למאגר הפרטי שלו ב-2015. מאחר ושם הקוד mischa07 נצרב גם בנוזקה כמפתח ההצפנה והפענוח, בחברה מאמינים כי אותו המשתמש הינו יוצר הנוזקה:

 

חלק מהדברים שאותו משתמש העלה, הורדו על ידי עשרות אלפי משתמשים אחרים. אותם אפליקציות וחבילות פריצה כוללות פונקציות כמו Cheat במשחקים, כוונון מערכות והפשטת פרסומות. שתי החבילות הפופולאריות ביותר מאפשרות הורדה של אפליקציות בתשלום מהחנות של אפל באופן חינמי, ושירות שמאפשר ביצוע רכישות בתוך האפליקציות עצמן ללא תשלום.

 

משתמש נוסף בפורום, בשם Bamu, אמנם מחק את מרבית הפוסטים שלו ברגע שהתגלתה הפריצה, אך מבדיקת החברה התגלה כי 77 מהאפליקציות והחבילות שפרסם בעבר התקינו את נוזקת KeyRaider על אלו שהורידו אותם. מסתמן כי בעוד mischa07 היה זה שיצר את הנוזקה ופיתח גרסאות שונות שלה, האפליקציות של bamu כללו אריזה מחדש של אפליקציות קיימות (כמו למשל iFile). מהמידע שנחשף נמצא כי 67% מהחשבונות הגנובים הגיעו מ-bamu.

 

איום נוסף – טלפונים שנתפסים תמורה לכופר

בנוסף לגניבת פרטי משתמשים, לנוזקת KeyRaider יש גם יכולת מובנת לתפוס מכשירי iOS בתמורה לכופר. בשונה מנוזקות שונות שפעלו במערכת של אפל והתבססו על  סיסמאות של ענן ה-iCloud, נוזקת KeyRaider יכולה לבטל לחלוטין כל פעולה של פתיחת המכשיר, גם אם הסיסמה הנכונה הוקלדה. הנוזקה יכולה לשלוח גם הודעת התראה הדורשת כופר באופן ישיר דרך שימוש בהרשאות והמפתחות הפרטיים הגנובים, ללא הצורך לעבור בשרת התראות ה-Push של אפל.  

 

איומים נוספים פוטנציאליים

שימוש בשמות המשתמשים והסיסמאות של אפל יכול להביא למתקפות נוספות. למשל, תוקפים יכולים להשיג שליטה על מכשירים דרך ה-iCloud לגשת ישירות לכל המידע של הודעות ה-iMessage של המשתמשים, אנשי הקשר שלהם, תמונות, מסמכים ואף מיקום, כפי שנעשה בפריצה המתקושרת לשרתי ה-iCloud שהתרחשה ב-2014.

 

בנוסף, תוקפים יכולים להשתמש במידע גנוב כדי לקדם את הדירוג ואת מספר ההורדות של אפליקציות בחנות ה-App Store של אפל בצורה לא חוקית. למעשה, הרבה מקורבנות KeyRaider דיווחו על פעילות הורדת אפליקציות לא רגילה, מה שהוביל לבסוף לחשיפת הנוזקה. מעבר לכך, הורדת אפליקציות בתשלום מהחנות ללא צורך לשלם עליהם, משמעותו שעלות האפליקציה תצא מקורבן התקיפה אך הכסף ילך לאפל ובחלקו גם למפתחים. במקרים מסויימים נמצא כי אותם מפתחים שיתפו פעולה עם התוקפים בחלוקת הכסף.

 

בשנתיים האחרונות רואים עלייה ביכולת התוקפים להשתמש במידע כדי ליצור הודעות ספאם לשירות ה-iMessage של אפל. הודעות כאלו הן קשות יותר לחסימה מסמסים רגילים, כיוון שהן דורשות חיבור אינטרנט בלבד, ולא חיבור סלולרי.

 

הגנה ומניעה

"חשוב לזכור כי נוזקת KeyRaider משפיעה רק על מכשירי אפל פרוצים. כלומר משתמשים שלא פרצו את האייפון או האייפד שלהם נותרים מוגנים," אומר ציון עזרא, סמנכ"ל מכירות באינוקום מקבוצת אמן, המפיצה הבלעדית של פאלו אלטו בישראל. "בנוסף, חשוב לציין כי רק כמחצית מחשבונות הגנובים נחשפו לפני שהתוקפים זיהו את נקודת התורפה, כך שכל משתמש שאי פעם הוריד אפליקציות או חבילות פריצה ממקור Cydia יכול להיות מודבק. פאלו אלטו הוציאה התראה על חתימות DNS מתוך שרת ה-C2 הזדוני. אנחנו נשארים במעקב יחד איתם עבור משתמשים שנחשפו לתקיפה."

 

"באופן כללי, מומלץ לא לפרוץ את מכשירי האפל שלכם אם ניתן להימנע מכך. אין כיום מאגרי Cydia שמריצים בדיקות אבטחה על אפליקציות או חבילות, כך שהשימוש בהם הוא על אחריות המשתמשים בלבד. אנו ממליצים כי כל המשתמשים שפרטיהם נגנבו יחליפו את סיסמת חשבון האפל שלהם לאחר שהצליחו להסיר את הנוזקה ויצרו זיהוי הכולל שני משתנים לפרופיל ה-Apple ID שלהם," הוא מסכם.

 

אודות אינוקום

אינוקום הינה Value Added Distributor המייצגת בישראל חברות IT מובילות ומתמקדת במכירת מוצרי טכנולוגיה חדשניים לשוק ה-IT הישראלי. מאז הקמתה, עובדת אינוקום עם יצרניות מובילות ועם שותפים מקומיים מובילים לביצוע הטמעות מוצלחות של טכנולוגיות IT חדשות.
כחלק מקבוצת אמן, אינוקום מציעה מוצרים ופתרונות לתחומי אבטחת רשתות, אופטימיזצית WAN  ושירותי ניהול מבוססי ענן. יחד עם השותפים העסקיים שלה, אינוקום מציעה את הפתרונות המתאימים ביותר ללקוחותיה, על-מנת שאלה ייהנו מיתרון תחרותי דרך חדשנות טכנולוגית.
למידע נוסף, בקרו באתר החברה, בכתובת  www.innocom.co.il

 


תגיות של המאמר: קבוצת אמן | Aman | אינוקום |

כתבות נוספות בקטגוריה הייטק וטכנולוגיה

פתרון מנוהל חדש מבית F5 , בשיתוף עם Google פתרון מנוהל חדש מבית F5 , בשיתוף עם Google , מרחיב
מוניטור/דפיברילטור חדש של ZOLL Zenix מקבל אישור לפי תקן MDR ‏ZOLL®‎, חברה מקבוצת Asahi Kasei המייצרת מכשירים ר
חיל הנחתים האמריקאי בוחר ב-GA-ASI עבור תוכנית מטוסי הקרב השיתופית MUX TACAIR General Atomics Aeronautical Systems, Inc (GA-ASI)
Datavault AI מסכמת את סוף השבוע רב ההשפעה של Super Bowl LX עם NFL Alumni, הפעלות ADIO® בשידור חי, DVHOLO™ ויצירת אסימונים Datavault AI Inc (נאסד"ק: DVLT) ("Datavault AI" או
Intuit Mailchimp פותחת עידן חדש של שיווק מסחר אלקטרוני רווחי באמצעות יכולות מונחות-נתונים מתקדמות חברת Intuit Inc.‎ (נאסד"ק: INTU), פלטפורמת הטכנולו
ניסוי DISTALS של Rapid Medical™ מציג תוצאות חיוביות במיוחד ומדגים שחזור זרימת דם (Reperfusion) עדיפה עם TIGERTRIEVER™ 13 בטיפול בשבץ מוחי של כלי דם בינונים – Rapid Medical™ רפיד מדיקל, מפתחת מובילה של מכשי
ההאקתון M1 של Movement חושף 100% אימוץ בינה מלאכותית בקרב מפתחי בלוקצ'יין Move Industries, התורמת העיקרית ל-Movement Network
VeriSilicon משפרת את סדרת ISP8200-FS IP ומקבלת אישור בטיחות פונקציונלי מסוג ASIL B ‏VeriSilicon (688521.SH) הכריזה על הגרסאות המשופרו
CSG עוזרת לעסקים לצמצם הפסדים כתוצאה מהונאות בעד 70% עם CSG Payments Protection.ai בתקופה שבה הונאות תשלומים מתגברות דרך שימוש ב-AI,
InterSystems זוכה בארבעה פרסי Best in KLAS לשנת 2026 ‏InterSystems, ספקית טכנולוגיות נתונים חדשנית המני
Bodor Laser מציגה את הקונספט "מהירות קיצונית" בעיבוד צינורות, ומשיקה מכונת חיתוך צינורות במהירות גבוהה מבוססת לייזר מסדרת SK Bodor Laser, יצרנית עולמית של פתרונות חיתוך באמצעו
Qodo 2.0 מגדיר מחדש סקירת קוד בינה מלאכותית כדי להבטיח דיוק ואמון ארגוני Qodo הכריזה על הדור השני של פלטפורמת סקירת קוד הבי
פקיסטן תארח את שבוע הבינה המלאכותית של Indus 2026, פלטפורמה לאומית בת חמישה ימים לקידום בינה מלאכותית פקיסטן תארח את שבוע הבינה המלאכותית של Indus 2026
EZVIZ פורצת דרך באבטחה חיצונית עם משפחת מצלמות מבוססות סוללה עם 4G ו-Wi-Fi, ומתמודדת עם אתגרים יומיומיים עם השראה לתרחישים חדשים, מבתים ועד לטבע EZVIZ, הידועה בזכות עיצוב מחדש של נוף האבטחה החכמה
Atos מוקמה כמובילה ב- IDC MarketScape™: הערכת ספקים בניהול זיהוי ותגובה (MDR) במזרח התיכון לשנת 2025 Atos דורגה בקטגוריית המובילים בדו"ח IDC MarketScap
חברת F5 ממנה את ליאור חן למנהל השותפים וההפצה של F5 בישראל, יוון, קפריסין והרשות חברת F5 ממנה את ליאור חן (43, נשוי+3) למנהל השותפי
כשהביקוש לאודיו/וידאו רב-לשוני מאיץ, AI-Media תציג לראווה תזרימי עבודה לתרגום ונגישות בזמן אמת ב-ISE 2026 AI-Media, מובילה עולמית בפתרונות יצירת כתוביות ושפ
Advantest Corporation בחרה ב-Anaqua לקידום ניהול הקניין הרוחני הגלובלי שלה Anaqua, ספקית מובילה של פתרונות ושירותים טכנולוגיי
Datavault AI מודיעה על הסכם עם Sports Illustrated לפיתוח פלטפורמת החלפת נכסים דיגיטליים קניינית המתמקדת בספורט Datavault AI Inc (נאסד"ק: DVLT) ("Datavault AI" או
CSG זכתה להכרה בדוחות אנליסטים מהימנים במגוון קטגוריות עבור CPQ, מונטיזציה וניהול שותפים דיגיטלי ספקי שירותי תקשורת (CSP) נתונים ללחץ לפשט את המורכ
הוסף תגובה 
תגובות  ( תגובות)