Раскрытие ряда продолжающихся атак на iPhone со стороны российской компании по кибербезопасности «Лаборатории Касперского» пролило свет на операцию «Триангуляция». Кампания использует преимущества iOS недостаток и iMessage методы без щелчка для установки вредоносных программ, не требующие участия пользователя.
Стремясь противостоять этой угрозе, Касперский назвал операцию «Операция Триангуляция” и приглашает всех, у кого есть знания, выйти вперед и поработать с ними.
В статье исследуются особенности кампании, ее результаты и обвинения, выдвинутые ФСБ России.
Операция «Триангуляция» использует уязвимость iOS
Расследование Касперского указывает на то, что iMessage с нулевым щелчком атаки, используемые хакерами для использования уязвимости iOS, были успешными на айфоны связаны с их сетью.
Эти методы позволяют распространять вредоносный код на устройства без участия пользователя. Воспользовавшись этой уязвимостью, злоумышленники могут скрытно загружать больше вредоносного ПО со своих серверов.
Даже если исходное сообщение и вложение быстро удалилостается скрытая полезная нагрузка с правами суперпользователя, что дает злоумышленникам возможность собирать личные данные, выполнять удаленные команды и сохранять постоянство.
Троянец тщательно анализируется в рамках операции «Триангуляция».
Касперский использовал Мобильный Проверка Инструментарий для детального анализа вируса с целью преодоления трудностей, связанных с iOS закрытая архитектура. Важные подробности о процедуре атаки и работе вируса были обнаружены путем создания резервных копий файловой системы взломанных iPhone.
Индикаторы заражения продолжают существовать, несмотря на попытки вредоносных программ удалить доказательства своего присутствия. К ним относятся внедрение устаревших библиотек, изменения в системных файлах, препятствующие установке обновлений iOS, и необычные модели потребления данных.
Симптомы инфекции впервые были отмечены в 2019, согласно дальнейшему анализу собранных данных. Примечательно, iOS 15.7 была самая последняя версия iOS стать мишенью для этого вредоносного инструментария, хотя iOS 16.5 было самым последним крупным обновлением на момент исследования. Важно помнить, что впоследствии iOS обновления, возможно, исправили уязвимость, которая использовалась в этих атаках, снизив опасность для устройств с самыми последними версиями.
Веб-сайты, связанные с вредным поведением
«Лаборатория Касперского» предоставила администраторам безопасности список из 15 доменов, связанных с операцией «Триангуляция». Администраторы могут обнаружить любое использование на своих устройствах, просматривая старые журналы DNS.
Как только вредоносное ПО получает больше доступа, оно загружает полный набор инструментов, который дает злоумышленникам контроль над выполнением инструкций, сбором пользовательских и системных данных и получением дополнительных модулей с сервера управления (C2). .
Важно отметить отсутствие возможностей сохранения в наборе инструментов APT, используемых в этих атаках. Поэтому быстрая перезагрузка устройства эффективно останавливает активность вредоносных программ. Конкретной информации о возможностях вредоносного ПО по-прежнему недостаточно, поскольку окончательное исследование полезной нагрузки все еще продолжается.
Россия обвиняет США
В связи с выводами «Лаборатории Касперского» обвинения в сотрудничестве между Apple и АНБ были сделаны российским агентством разведки и безопасности ФСБ. Согласно ФСБApple сознательно предоставила АНБ бэкдор, позволяющий АНБ заражать российские айфоны вредоносным ПО.
Они также утверждают, что несколько взломанных устройств принадлежали сотрудникам различных посольств и членам российского правительства. ФСБ Однако не предоставил никаких достоверных данных, подтверждающих эти утверждения.
Российское государство ранее призывало администрацию президента и правительственный персонал прекратить использование Apple iPhone и держаться подальше от оборудования американского производства. Последствия атак на московскую штаб-квартиру «Лаборатории Касперского» и международных сотрудников подтвердились.
Однако компания дала понять, что, поскольку у нее нет доступа к правительственной технической следственной информации, она не может подтвердить прямую связь между ее результатами и отчетом ФСБ. Однако российский CERT выпустил предупреждение, связывающее утверждение ФСБ с результатами Касперского.
Вы занимаетесь кибербезопасностью? Тогда вам следует ознакомиться с нашей статьей «Роль кибербезопасности в соблюдении требований».
Source: Разоблачение операции «Триангуляция»: глобальная проблема кибербезопасности