Hinter jedem Cyberangriff steht eine Motivation. Oft sind es finanzielle Interessen, die solche Attacken treiben, Ransomware ist hierfür das Paradebeispiel. Gleichzeitig gibt es aber auch politische Interessen, und gerade in diesem Bereich ist der Professionalitätsgrad der Hacker besonders hoch. Stehen dahinter doch oftmals Nationalstaaten mir schier unbegrenzten Budgets. Die exakten Abläufe bleiben dabei oft im Verborgenen, umso interessanter ist nun ein Blogeintrag von Googles Threat Analysis Group (TAG), in dem man eine aktuelle Kampagne nachzeichnet.

Zielpersonen

Seit mindestens August 2021 hätten sich unbekannte Angreifer gezielt Aktivisten aus der Hongkonger Demokratiebewegung vorgenommen. Dabei soll eine Lücke in Apples Betriebssystemkernel XNU ausgenutzt worden sein, um sowohl Rechner mit macOS als auch iPhones zu übernehmen. Nach einem erfolgreichen Einbruch wurde auf den betroffenen Geräten eine mächtige Spyware installiert, die unter anderem das Aufnehmen von Bildschirmfotos, die Aktivierung des Mikrofons zum Belauschen oder auch das Ausführen von beliebigen Befehlen aus der Ferne erlaubte.

Bei dieser Attacke handelte es sich um einen sogenannten "Wasserlochangriff", bei dem von den Zielpersonen viel genutzte Dienste infiziert werden. In diesem Fall soll der Schadcode auf den Webseiten eines regierungskritischen Nachrichtenmediums untergebracht worden sein. Auf diesem Weg sollen dann die Geräte von Aktivisten mit dem Trojaner infiziert worden sein.

Ablauf

Die Google TAG hat Apple über diese Vorgänge noch im August informiert, am 23. September folgte dann eine Sonderupdate für macOS Catalina (10.15) sowie ältere iOS-Versionen. Schon damals hieß es, dass die betreffende Lücke bereits aktiv ausgenutzt wird, weshalb die Nutzer das Update so schnell wie möglich installieren sollten.

Apple hat gepatzt

An sich scheint das Zusammenspiel zwischen den Google-Forschern und Apple in diesem Fall also relativ gut geklappt zu haben. Und doch wirft der Vorfall auch Fragen auf. Die betreffende Lücke soll nämlich sehr wohl bereits vorab bekannt gewesen sein, Apple scheint das aber verpasst zu haben. Das chinesische Jailbreak-Team Pangu Lab hatte die XNU-Lücke nämlich bereits zuvor öffentlich gemacht, und zwar nicht nur auf einer, sondern gleich auf zwei Sicherheitskonferenzen – einer im April, einer im Juli. Dazu kommt noch, dass die neue Lücke einer alten, von Googles Project Zero im Jahr 2020 aufgedeckten Schwachstelle stark ähnelt.

Wieso Apple hier also nicht früher reagiert hat, bleibt vorerst unklar. Ein Grund dafür könnte aber sein, dass die Angriffe auf neueren macOS-Generationen schon nicht mehr funktioniert haben. Wie Google betont, hätten allgemeine Sicherheitsverbesserungen in neuen Betriebssystemausgaben eine Ausführung des Exploits verhindert. Allerdings führt Apple auch macOS Catalina weiter als offiziell gewartet. In der Vergangenheit gab es immer wieder Vorwürfe, dass der Softwarehersteller ältere Betriebssystemgenerationen nur unzureichend warte.

Kombination

Betont sei, dass solche Attacken praktisch nie nur über eine einzelne Sicherheitslücke erfolgen, dazu sind moderne Betriebssysteme zu gut abgesichert. In diesem Fall war es bei macOS so, dass zum Einbruch zunächst ein Bug in Webkit, also der Rendering Engine von Apples Safari, ausgenutzt wurde, bevor die XNU-Lücke zur Übernahme des Systems verwendet wurde. Im Falle von iOS ist es den Sicherheitsforschern hingegen nicht gelungen, die vollständige Exploit-Kette zu sichern, der genaue Ablauf bleibt also offen.

Wie immer bei solchen Vorfällen ist eine eindeutige Zuordnung der Täter auf technischem Weg kaum möglich, darum erheben die Sicherheitsforscher von Google auch gar keinen Vorwurf in diese Richtung. Dass es sich dabei mit sehr hoher Wahrscheinlichkeit um einen staatlich finanzierten Akteur handelt, schließt man aber aus dem hohen Professionalitätsgrad, mit dem die Attacke ausgeführt wurde. (apo, 12.11.2021)