보안회사 Volexity는 중국의 위구르족을 감시하는데 사용된 새로운 iOS 익스플로잇을 발견했다고 밝혔다.

인솜니아(Insomnia)라고 명명된 이 익스플로잇은 iOS 버전 12.3, 12.3.1, 12.3.2에서 작동한다. 애플은 2019년 7월 12.4의 출시와 함께 이 취약점을 패치했다.

Volexity는 2020년 1월에서 3월 사이에 인솜니아 익스플로잇이 실제로 사용되었다고 말했다.

이 악용은 여러 위구르 관련 웹사이트를 방문하는 iOS 사용자의 장치에 로드되어 있었다. 피해자가 사이트에 엑세스하면 인솜니아 익스플로잇이 장치에 로드되어 공격자에게 루트 액세스 권한이 부여된다. 해커는 장치에 엑세스해 다양한 인스턴트 메시징 클라이언트로부터 평문 메시지, 전자 메일, 사진, 연락처 목록 및 GPS 위치 데이터를 훔쳤다.

Volexity는 이 악용은 이블 아이(Evil Eye)라는 이름으로 추적하고 있는 위협 행위자에 의해 행해졌다고 설명한다. 이블 아이 그룹은 중국 정부에 의해 운영되는 국가 후원 해킹 유닛으로 여겨지고 있고 위구르 소수민족을 감시하고 있다.

2019년 8월 구글과 Volexity은 이 그룹에 의해 14개의 iOS 익스플로잇이 위구르를 대상으로 2016년 9월부터 사용되었음을 발견했다. 14개의 익스플로잇들은 웹사이트에 익스플로잇을 심고 사용자가 방문하기를 기다리는 워터링 홀 전략을 사용하여 배포되었다.

Volexity는 이번에 발표된 새로운 보고서에서 구글이 14개 iOS 익스플로잇에 대한 보고서를 발표한 후 이블 아이가 그들의 인프라를 닫고 익스플로잇 사용을 중단했다고 발표했다. 그러나 이 그룹은 새로운 인솜니아 익스플로잇으로 2020년 1월에 다시 나타났으며, 새로운 일련의 워터링 홀 공격으로 위구르족의 소수 민족을 타겟으로 하고 있다.

연구원들은 새로운 인솜니아 익스플로잇이 이전에 사용했던 14가지 iOS 익스플로잇과 비교했을 때 개선된 기능을 제공한다고 말한다. 2016년과 2019년 사이의 공격에 사용된 이전의 악용 사례는 GPS 좌표, iOS 사진 앱의 사진, 주소록 앱의 주소록, Gmail의 이메일 및 와츠앱, 텔레그램, 위챗, iMessage 및 행아웃으로 부터의 메세지를 훔친다. 새로운 인솜니아 익스플로잇은 프로톤메일 앱의 이메일과 시그널 앱을 통해 전송된 이미지를 대상으로 확장되었다.

Volexity는 "시그널과 프로톤메일의 포함은 위구르 족이 자신들의 통신이 감시되고 있었을 것을 알고 있었으며 이를 피하기 위해 강력한 보안 기능을 지닌 어플리케이션을 사용하려 했다는 것을 알려준다"고 설명한다.

연구팀은 "웹킷을 사용하는 모든 브라우저를 통해 익스플로잇이 발생할 수 있다. Volexity는 사파리, 크롬, 에지 모바일 브라우저를 통해 iOS 12.3.1을 실행하는 전화를 성공적으로 악용할 수 있었다."고 설명했다.

이전에 사용된 익스플로잇과 마찬가지로 인솜니아에는 여전히 "부팅 지속성" 메커니즘이 포함되어 있지 앟다. 즉 단순히 전화를 재부팅하면 장치에서 인솜니아 악성코드가 제거된다. 그러나 Volexity 팀은 이것이 반드시 이블 아이가 부팅 지속성에 대한 기술을 갖고 있지 않은 것을 의미하는 것이 아니다라고 말한다. "공격자들이 지속성을 유지할 수 있는 방법을 가지고 있지만 목표를 확인한 후 수동으로 이것을 설정하는 것이 가능할 수도 있다"고 설명했다.

Volexity는 인솜니아 익스플로잇이 여러 웹사이트에 배포되었지만 위구르 아카데미 웹사이트에서 대부분 발견되었다고 밝혔다.

위구르 테마 웹사이트를 방문하고 해킹 당하지 않기를 원하는 사용자는 iOS 12.4 릴리즈로 기기를 업데이트해야 한다.

★정보보안 대표 미디어 데일리시큐!★