En azından son dört yıldır, bir gelişmiş kalıcı tehdit (APT) aktörü, iMessage aracılığıyla iletilen sıfır tıklamalı bir istismar kullanarak, bilinmeyen sayıda kurbana ait iOS cihazlarından gizlice bilgi çalıyor. Rusya’nın en üst düzey istihbarat teşkilatı olan Rusya Federasyonu Federal Güvenlik Servisi (FSB), saldırıların ABD’deki Ulusal Güvenlik Teşkilatı’nın (NSA) işi olduğunu ve binlerce Rus diplomatı ve diğerlerini etkilediğini iddia ediyor. Şimdiye kadar, bu iddiaları destekleyecek hiçbir kanıt yok.
Teyit edilebilecek olan şey, araştırmacıların Kaspersky kötü amaçlı yazılımı keşfetti kendi kurumsal Wi-Fi ağında düzinelerce virüslü iOS telefondan kaynaklanan şüpheli etkinliği tespit ettikten sonra. Araştırmacıların vurguladığı üzere, şirketin kampanyayla ilgili devam eden araştırması, kötü amaçlı yazılımın mikrofon kayıtlarını, anlık iletilerdeki fotoğrafları, kullanıcının coğrafi konumunu ve sahibiyle ilgili diğer özel verileri uzaktan komuta ve kontrole (C2) sessizce ilettiğini gösterdi. sunucular.
Kaspersky, kampanya olarak adlandırdığı şekliyle Üçgenleme Operasyonunun tek hedefinin şirketin olmadığından “oldukça emin” olduğunu söyledi. Güvenlik satıcısı, saldırının tüm kapsamını anlamak için şu anda diğer araştırmacılar ve ulusal bilgisayar acil durum müdahale ekipleriyle birlikte çalışıyor. — ve şimdilik ilişkilendirmenin zor olduğunu belirtiyor.
Kaspersky Küresel Araştırma ve Analiz Ekibi EEMEA birimi başkanı Igor Kuznetsov, Dark Reading’e “Bu casusluk kampanyasının gerçek ifşasını anlamak için ulusal CERT’lerdeki meslektaşlarımızdan ve siber güvenlik topluluğundan daha fazla bilgi bekliyoruz.” Kesin olmamakla birlikte, saldırının özellikle Kaspersky’yi hedef almadığına inanıyoruz. — şirket onu ilk keşfeden şirket.”
“Siber saldırı özelliklerine bakılırsa, bu siber casusluk kampanyasını mevcut herhangi bir tehdit aktörüne bağlayamıyoruz” diye ekliyor.
Dahası, “Birine herhangi bir şey atfetmek çok zor” Kuznetsov Reuters’e söyledi Rusya’nın ABD casusluk iddialarına özel bir yanıt olarak.
Rusya’nın ABD Casus Komplosu İddiaları
kendi adına, FSB bir medya açıklamasında söyledi casus yazılımın “birkaç bin” Apple cihazına bulaştığını, İsrail, Suriye, Çin ve NATO üyelerinden diplomatların yanı sıra yerli Rus aboneleri hedef aldığını. Saldırıların, Rusya ile bağlantılı olanları gözetlemek için güçlü bir gözetleme altyapısı oluşturmak için Apple ile NSA arasında bir komplo anlamına geldiğini kanıt olmadan iddia etmeye devam ediyor.
Rusya dışişleri bakanlığı yaptığı açıklamada, “Gizli veri toplama, ABD yapımı cep telefonlarındaki yazılım açıkları aracılığıyla gerçekleştirilmiştir.” “ABD istihbarat servisleri, internet kullanıcılarının büyük ölçekli verilerini onların bilgisi dışında toplamak için onlarca yıldır BT şirketlerini kullanıyor.”
Sanık taraflar iddiaları yalanladı veya yorum yapmayı reddetti.
Apple, iddiaları ilk kez bildiren Reuters’e yaptığı açıklamada, “Herhangi bir Apple ürününe arka kapı yerleştirmek için hiçbir hükümetle çalışmadık ve asla çalışmayacağız” dedi. Habere göre NSA ve İsrailli yetkililer yorum yapmaktan kaçındı ve Çinli, Suriyeli ve NATO temsilcileri hemen yorum yapamadı.
Nirengi Operasyonu
Kötü amaçlı yazılım, geçen yıl içinde iOS cihazlarını hedef alan sayısı giderek artan bir sayı arasında yer alıyor. Analistler, Apple’ın işletme ortamlarında artan varlığına ve kötü amaçlı yazılım geliştirme için çoklu platform uyumlu Go dilinin artan kullanımına eğilimin nedenleri olarak işaret ettiler.
Teknik açıdan, Kaspersky’nin şu ana kadar saldırıyla ilgili anlayışı, açık kaynak kullanan ağındaki virüslü iOS cihazlarının çevrimdışı yedeklerinin analizine dayanmaktadır. Mobil Doğrulama Araç Seti (MVT). Araç setindeki farklı yardımcı programlar, diğer şeylerin yanı sıra, üzerlerinde Pegasus gibi casus yazılım araçlarının varlığını belirlemek için iOS ve Android cihazların adli analizine olanak tanır.
Kaspersky, ilk cihaz bulaşmasından toplam cihaz güvenliği ihlaline kadar uzanan olayların sırasını yeniden oluşturmak için çevrimdışı yedeklemelerde MVT’yi kullandı. Şirket, ilk bulaşmanın tipik olarak, hedef iOS cihazının rastgele bir kaynaktan sıfır tıklama istismarı içeren bir ek içeren bir iMessage almasıyla başladığını tespit etti.
Cihaza girdikten sonra iMessage, herhangi bir kullanıcı etkileşimi olmadan otomatik olarak bir iOS güvenlik açığını tetikler ve bu, virüslü cihazda uzaktan kod yürütülmesine (RCE) neden olur. Kötü amaçlı kod, uzak C2 sunucularından ayrıcalık yükseltmeye ve tam cihaz devralmasına izin veren bir tane de dahil olmak üzere birkaç ek kötü amaçlı bileşen indirir.
Kaspersky, son yüke ilişkin tam analizini henüz tamamlamadı. Ancak, kötü amaçlı yazılımın virüslü cihazlarda kök ayrıcalıklarıyla çalıştığını belirleyebildi ve telefonun ve üzerindeki tüm kullanıcı verilerinin tam kontrolünü ele geçirdi. Kötü amaçlı yazılım bir cihazın kontrolünü ele geçirdiğinde, cihazda bulunmasını sağlayan iMessage’ı otomatik olarak siler.
Kuznetsov, siber casusluk kampanyasının karmaşıklığı ve iOS platformunun analizinin karmaşıklığı göz önüne alındığında, Operasyon Üçgeni kampanyasındaki kötü amaçlı yazılımın yararlanabileceği tüm iOS güvenlik açıklarını ortaya çıkarmak için daha fazla araştırma yapılması gerektiğini söylüyor. “Yeni bulgular ortaya çıktıktan sonra topluluğu güncelleyeceğiz” diyor. “Saldırının zaman çizelgesi sırasında bir günlük güvenlik açıkları, bir zamanlar sıfır günlük güvenlik açıklarıydı.”
Kuznetsov, Kaspersky araştırmacılarının şu ana kadar kötü amaçlı yazılımın yararlandığı görünen birçok güvenlik açığından en az birini tespit edebildiğini söylüyor. Kusur şu şekilde izlenir: CVE-2022-46690Apple’ın Aralık 2022’de açıkladığı ve yamaladığı sözde bir sınırların dışında yazma sorunu. Apple kritik güvenlik açığını açıkladı bir uygulamanın çekirdek düzeyinde ayrıcalıklarla rasgele kod yürütmesine izin vermek gibi.
Apple Casus Yazılım Enfeksiyonlarını Tespit Etmek Zor
Kaspersky, şirketin Kaspersky Birleşik İzleme ve Analiz Platformunu (KUMA) kullanarak mobil cihazlar için Wi-Fi ağını izlerken kötü amaçlı yazılımı keşfetti. Bazı iOS cihazlarına 2019 yılına kadar virüs bulaştığı düşünülürse, şirketin etkinliği neden daha önce tespit etmediği açık değil.
Kuznetsov, araştırmacıların genellikle APT etkinliğini tehdit aktörü operasyonel bir hata yaptığında keşfettiğini söylüyor. Diğer durumlarda, farklı parçaların bir araya gelmesi zaman alır.
“Bazen, yeni bir tehdidin düzgün bir teknik analizini üstlenmek için zaman harcamamız gerekiyor, örneğin, çalışma tarzı hakkında daha fazla bilgi toplamamız gerekiyor,” diyor. “Net bir resim elde eder etmez bulgularımızı yayınlarız.”
Kaspersky, blogunda kuruluşların virüslü cihazları tespit etmek ve düzeltmek için kullanabilecekleri ayrıntılı bilgiler ve tehlike göstergeleri yayınladı. “triangle_check” yardımcı programı kuruluşların yedeklemeleri taramak ve virüs bulaşmasını kontrol etmek için kullanabileceği.