Napad na iPhone: Operation Triangulation
Ranije nepoznata i veoma sofisticirana napredna trajna prijetnja (APT) je nedavno izašla na vidjelo, ciljajući iOS uređaje u dugotrajnoj kampanji pod nazivom Operation Triangulation.
Napad na iPhone: Operation Triangulation; Dizajn: Saša Đurić
iMessage ranjivost
Prema informacijama iz firme za sajber bezbjednost Kaspersky, napadači koriste eksploatacije bez klika preko iMessage platforme da zaraze svoje mete. Koristeći ove eksploatacije bez klika, napadači mogu pokrenuti ranjivosti na iOS uređajima bez ikakve interakcije korisnika. Kada je uređaj kompromitovan, zlonamjerni softver dobija root privilegije, omogućavajući mu potpunu kontrolu nad uređajem i podacima korisnika.
Iskorištavajući ovu ranjivost, napadači mogu diskretno da preuzmu dodatni zlonamjerni softver sa svojih servera. Dok se početna poruka i prilog brzo brišu, ostaje skriveni aktivni dio virusa sa root privilegijama, što omogućava napadačima da prikupljaju osjetljive informacije, izvršavaju daljinske komande i održavaju pristup uređaju.
Operation Triangulation analiza
Kako bi se riješio problem koji predstavlja zatvoreni iOS operativni sistem, sigurnosni istraživači kompanije Kaspersky su koristili Mobile Verification Toolkit alat kako bi uradili opsežnu analiza zlonamjernog softvera. Analiza je počela pravljenjem rezervnih kopija zaraženih iPhone uređaja, što je dovelo do ključnog uvida u proces napada i funkcionalnosti zlonamjernog softvera.
Uprkos pokušajima zlonamjernog softvera da izbriše tragove svog prisustva, indikatori infekcije i dalje postoje. To uključuje izmjene sistemskih datoteka koje ometaju instalaciju ažuriranja za iOS, neobjašnjene obrasce korišćenja podataka i ubacivanje zastarelih biblioteka.
Dalje ispitivanje prikupljenih podataka otkrilo je da su znaci infekcije prvi put primijećeni 2019. godine. Primjetno je da je najnovija verzija iOS operativnog sistema cijana ovim zlonamjernim skupom alata bila 15.7, dok je posljednje veliko izdanje u vreme analize bilo iOS 16.5. Neophodno je uzeti u obzir da su naknadna ažuriranja iOS operativnog sistema možda riješila ranjivost iskorišćenu u ovim napadima, ublažavajući rizik za uređaje koji koriste najnovije verzije.
Kompanija Kaspersky je obezbijedila sigurnosnim administratorima listu od 15 domena povezanih sa kampanjom Operation Triangulation. Analizom istorije DNS evidencija, administratori mogu da identifikuju potencijalne znake eksploatacije na svojim uređajima. Jednom kada zlonamjerni softver poveća privilegije, preuzima sveobuhvatan komplet alata koji napadačima daje kontrolu nad izvršavanjem komandi, prikupljanjem sistemskih i korisničkih informacija i preuzimanjem dodatnih modula sa servera za komandu i kontrolu (C2).
Rusija optužuje Sjedinjene Američke Države
Imajući u vidu izvještaj kompanije Kaspersky ruska obavještajna i bezbjednosna agencija Rusije – FSB iznijela je navode koji sugerišu da kompanija Apple sarađuje sa nacionalnom bezbjednosnom agencijom Sjedinjenih Američkih Država – NSA. FSB tvrdi da je kompanija Apple namjerno obezbijedila zadnja vrata (eng. backdoor) za NSA, omogućavajući zarazu iPhone uređaja u Rusiji špijunskim softverom. Oni dalje tvrde da su brojni uređaji koji pripadaju zvaničnicima ruske vlade i osoblju iz raznih ambasada bili kompromitovani. Međutim, FSB nije pružio konkretne dokaze koji bi podržali ove tvrdnje.
Već ranije je ruska država savjetovala svoju predsjedničku administraciju i vladine službenike da pređu sa Apple iPhone uređaja i izbjegavaju tehnologiju američke proizvodnje. Kaspersky je potvrdio napada na njegovo sjedište u Moskvi i zaposlene u drugim zemljama. Međutim, kompanija je razjasnila svoju nesposobnost da potvrdi direktnu vezu između svojih nalaza i izvještaja FSB-a, jer nema pristup detaljima vladine tehničke istrage. Bez obzira na to, ruski CERT je izdao upozorenje usklađujući izjavu FSB-a sa nalazima kompanije Kaspersky.
