はじめに:傭兵スパイウェアによる新たな監視活動
高度な監視技術を持つ傭兵スパイウェアベンダーが、その活動の巧妙さを増し、特にiOSデバイスを標的とした新たなゼロデイエクスプロイトチェーンを利用していることが明らかになりました。今回の分析は、Googleの脅威インテリジェンスグループ (GTIG) がRecorded Futureおよびアムネスティ・インターナショナルとの連携によって実施したものです。
Intellexaの巧妙な手口とゼロデイ利用の実態
「Predator」監視ツールで知られる著名な傭兵スパイウェアプロバイダーであるIntellexaは、国際的な制裁や規制を回避し、その活動を続けています。彼らは、モバイルデバイスを標的としたゼロデイ脆弱性の最も多作な悪用者の一つとして台頭しています。Googleの調査によると、Intellexaは2021年以降、15件ものユニークなゼロデイ脆弱性に関与しているとされています。これには、iOS、Android、Chrome、ARM Maliアーキテクチャにわたるリモートコード実行 (RCE)、サンドボックスエスケープ (SBX)、ローカル権限昇格 (LPE) の脆弱性が含まれます。
特筆すべきは、Intellexaがエクスプロイトチェーンのコンポーネントを社内で開発するだけでなく、外部の組織から調達する傾向を強めている点です。これは、監視業界における洗練されたサプライチェーンの存在を示唆しています。
「smack」:iOSセキュリティを迂回する高度なエクスプロイトチェーン
Intellexaが内部的に「smack」と呼ぶiOSエクスプロイトチェーンは、彼らの作戦の技術的複雑性を示す好例です。この多段階攻撃チェーンは、SafariのRCE脆弱性であるCVE-2023-41993から始まります。この脆弱性は、JSKitと呼ばれるフレームワークを介して任意のメモリへのアクセスを可能にします。セキュリティ研究者は、このJSKitフレームワークが2021年以降、ロシア政府系攻撃者や他の監視ベンダーのキャンペーンで確認されていることから、IntellexaがこのiOS RCEエクスプロイトを外部から取得したと考えています。攻撃から回復されたデバッグ文字列は、Intellexaが少なくとも7種類のiOSエクスプロイトバリアントを所有していたことを示唆しています。
攻撃の続く段階では、カーネル脆弱性であるCVE-2023-41991およびCVE-2023-41992を悪用して権限を昇格させ、最終的にシステムレベルのコード実行を可能にします。
PREYHUNTER:高度なスパイウェアの展開
最終段階であるPREYHUNTERでは、「helper」と「watcher」というスパイウェアモジュールが展開されます。
- watcherモジュールは侵入検知機能を実装しており、開発者モードのアクティベーション、デバッガーのアタッチ、不審なアプリケーション、セキュリティソフトウェアのインストールなど、デバイスの侵害を示す兆候を監視します。検知時にはエクスプロイトプロセスを終了させ、オペレーターがPredatorスパイウェアスイート全体を展開する前にターゲットの正当性を確認するための安全策として機能します。
- helperモジュールは、Unixソケットを介して永続性を確立し、VOIP通話記録、キーストロークロギング、カメラアクセスなどの偵察機能を実装しています。Googleの分析によると、これらの機能は、オペレーターがよりリソース集約的な監視機能を展開する前に、感染が成功したことを確認するためのスクリーニングメカニズムとして機能しています。
拡大する攻撃手法と国際社会の対応
Intellexaはゼロデイエクスプロイトだけでなく、サードパーティプラットフォームでの悪意のある広告を利用した標的型ユーザーフィンガープリントとエクスプロイトサーバーへのリダイレクトを含む新たな配信メカニズムにも拡大しています。この広告ベースの配信アプローチは、作戦の洗練度が高まっていることを示しており、関連するアカウントはプラットフォームによって閉鎖されています。
これらの脅威に対応するため、Googleは2023年以降、パキスタン、カザフスタン、アンゴラ、エジプト、ウズベキスタン、サウジアラビア、タジキスタンなど、数百の標的型アカウントに対し、政府支援の攻撃警告を発しています。また、Googleは特定されたIntellexaのインフラをセーフブラウジング保護に追加し、傭兵監視産業の拡大を抑制するための国際的枠組みである「パルモールプロセス」にも参加し続けています。米国の制裁にもかかわらずIntellexaの活動が継続していることは、この産業の拡大を阻止するための国際的な連携と執行メカニズムの強化が喫緊の課題であることを浮き彫りにしています。