簡述
Google 威脅分析小組（Google Threat Analysis Group, TAG）的研究人員近日發現意大利及哈薩克的手機用戶已成為 RCS Labs 惡意軟體的目標。

RCS Labs 是一家商業駭客公司，主要出售攻擊程式或監控技術給國家級的駭客集團。Google 的研究人員 Benoit Sevens 與 Clement Lecigne 在一篇文章中指出意大利及哈薩克的 iOS 和 Android 用戶已成為間諜程式 Hermit 的目標，Hermit 不僅可以竊取數據，還可以記錄及撥打電話。

 

攻擊手法
攻擊者會向目標發送一個連結，頁面以意大利語呈現，連結內容為要求使用者安裝假的應用程式來回復他們的 WhatsApp 帳戶，企圖誘騙使用者下載及安裝間諜軟件。不過研究人員表示，目前在蘋果及 Google 的應用商店中尚未發現任何假冒的應用程式。

 

與 ISP 合作
TAG 的研究人員相信當地的 ISP 服務商參與了部分的攻擊，透過暫停使用者的移動網路，讓駭客能夠以簡訊傳送惡意連結，並要求使用者下載一個偽造的電信應用程式來恢復其移動網路。

但 iOS 用戶所下載的卻是一個含 6 款攻擊程式的套件，當中有 4 個是已知漏洞，另 2 個則開採零時差漏洞，分別為 CVE-2021-30883 和 CVE-2021-30983。所有的攻擊程式皆由不同的越獄社群所撰寫。

一般而言 iOS 裝置並不允許使用者自 App Store 以外的地方下載與安裝程式，因此，RCS Labs 利用了蘋果專為大型企業所設計的 Apple Developer Enterprise Program，讓組織得以開發及部署供內部使用的行動程式，只要以該計畫的憑證簽署程式，便不會受到下載限制。

 

攻擊目的
根據 Lookout 的判斷，這些針對義大利或哈薩克使用者的攻擊行動都是由當地政府所主導，因此 ISP 才願意一起配合行動。事實上，在一些國家使用像 Hermit 這樣的間諜軟體是合法的，但是它們卻常用於與民主價值觀背道而馳的目的，被用於針對及監視反對黨政客、記者、人權工作者以及持不同政見者。不僅如此，這些商業駭客公司所持有的零時差安全漏洞資訊，其實對全球網路安全會帶來特別高的風險，尤其是這些公司一旦遭到入侵，所開發的零時差攻擊程式資訊也將一併外洩。

 

參考資料：
https://threatpost.com/google-hermit-spyware-android-ios/180062/