Üçgenleme Operasyonu adlı bir kampanyanın parçası olarak iOS cihazlarına gönderilen casus yazılım implantı hakkında daha fazla ayrıntı ortaya çıktı.
Yıl başında hedef haline geldikten sonra operasyonu keşfeden Kaspersky, kötü amaçlı yazılımın 30 günlük bir kullanım ömrü olduğunu ve bu sürenin ardından saldırganlar tarafından süre uzatılmadığı takdirde otomatik olarak kaldırıldığını söyledi.
Rus siber güvenlik şirketi arka kapıyı kodladı ÜçgenDB.
Kaspersky araştırmacıları, “İmplant, saldırganlar bir çekirdek güvenlik açığından yararlanarak hedef iOS cihazında kök ayrıcalıkları elde ettikten sonra devreye alınır.” söz konusu bugün yayınlanan yeni bir raporda.
“Hafızada dağıtılır, yani cihaz yeniden başlatıldığında implantın tüm izleri kaybolur. Bu nedenle, kurban cihazını yeniden başlatırsa, saldırganların kötü amaçlı bir ek içeren bir iMessage göndererek cihazı yeniden bulaştırması gerekir, böylece tüm sistem çalışmaya başlar. yine sömürü zinciri.”
Operasyon Üçgenlemesi, iMessage platformu aracılığıyla sıfır tıklamalı istismarların kullanılmasını gerektirir, böylece casus yazılımın cihaz ve kullanıcı verileri üzerinde tam kontrol sahibi olmasını sağlar.
Kaspersky CEO’su Eugene Kaspersky, “Saldırı, iOS işletim sistemindeki bir dizi güvenlik açığını kullanarak bir cihazda yürütülen ve casus yazılım yükleyen kötü amaçlı bir eke sahip görünmez bir iMessage kullanılarak gerçekleştirildi.” söz konusu.
“Casus yazılımın konuşlandırılması tamamen gizlidir ve kullanıcının herhangi bir işlem yapmasına gerek yoktur.”
Objective-C’de yazılan TriangleDB, gizli çerçevenin en önemli noktasını oluşturur. Komuta ve kontrol (C2) sunucusuyla şifreli bağlantılar kurmak ve düzenli olarak cihazın meta verilerini içeren bir sinyal sinyali göndermek için tasarlanmıştır.
Sunucu, kalp atışı mesajlarına iCloud Anahtar Zinciri verilerini boşaltmayı ve hassas verileri toplamak için belleğe ek Mach-O modülleri yüklemeyi mümkün kılan 24 komuttan biriyle yanıt verir.
Bu, diğerlerinin yanı sıra dosya içeriklerini, coğrafi konumu, yüklü iOS uygulamalarını ve çalışan işlemleri içerir. Saldırı zincirleri, izleri örtmek için ilk mesajın silinmesiyle doruğa ulaşır.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
Kaynak kodun daha yakından incelenmesi, kötü amaçlı yazılım yazarlarının dize şifre çözmeyi “unmunging” olarak adlandırdığı ve dosyalara (kayıt), işlemlere (şema), C2 sunucusuna (DB Sunucusu) ve coğrafi konuma veritabanı terminolojisinden adlar atadığı bazı olağandışı yönleri ortaya çıkardı. bilgi (Veritabanı Durumu).
Bir başka dikkate değer özellik de “populateWithFieldsMacOSOnly” rutininin varlığıdır. Bu yöntem, iOS implantında hiçbir yerde çağrılmasa da, adlandırma kuralı, TriangleDB’nin macOS aygıtlarını hedeflemek için silah haline getirilme olasılığını da artırır.
Kaspersky araştırmacıları, “İmplant, işletim sisteminden birden fazla yetki (izin) istiyor” dedi.
“Kamera, mikrofon ve adres defterine erişim ya da Bluetooth üzerinden cihazlarla etkileşim gibi bazıları kodda kullanılmıyor. Böylece bu yetkilerin verdiği işlevler modüllerde hayata geçirilebilir.”
Şu anda kampanyanın arkasında kimin olduğu ve nihai hedeflerinin ne olduğu bilinmiyor. Apple, The Hacker News ile paylaştığı daha önceki bir açıklamada, “hiçbir hükümetle herhangi bir Apple ürününe arka kapı yerleştirmek için çalışmadığını ve asla çalışmayacağını” söyledi.
Ancak Rus hükümeti, ABD’yi bir keşif operasyonu olduğunu iddia ettiği şeyin bir parçası olarak yerli abonelere ve yabancı diplomatlara ait “birkaç bin” Apple cihazına girmekle suçladı.