Niezaktualizowany Apple iOS – co mogło pójść nie tak? Firma Kaspersky twierdzi, że doszło do prób włamania do ich systemu informatycznego. Zainfekowanych zostało kilkadziesiąt urządzeń pracowników z powodu niezaktualizowanego iOS 15.7. Analiza śledcza wykazała, że pierwsze próby ataku miały miejsce jeszcze w roku 2019 (wcześniejsze wersje iOS), a najnowsze artefakty ataku są z ostatnich dni w chwili opublikowania tego postu.
Atak został przeprowadzony znanym, ale zaawansowanym schematem: wiadomość tekstowa w iMessage zawierała URL do pliku.
I to wszystko.
To wystarczyło, aby wykonać tzw. atak zero-click. BEZ INTERAKCJI z użytkownikiem smartfonu.
Podatność w iMessage nie wymagała dalszych czynności po stronie ofiary – dochodziło do cichego zainfekowania urządzenia.
Atak wykryto dzięki rozwiązaniu „Kaspersky Unified Monitoring and Analysis Platform”, w skrócie „KUMA”. Jest to produkt klasy SIEM do zarządzania informacjami i zdarzeniami z sieci.
Kaspersky jasno podaje, że jest to „niezwykle zaawansowane technologicznie oprogramowanie szpiegujące”. Nazwano je „Triangulation”.
Eksperci przygotowali szczegółową analizę tego ataku. Z uwagi na zamknięty ekosystem Apple i liczne jego zabezpieczenia nie jest możliwe skanowanie ruchu sieciowego bezpośrednio na urządzeniu. Dlatego wykonano zrzut pamięci offline zainfekowanych urządzeń i przeprowadzono analizę.
Do śledztwa wykorzystano znane oprogramowanie Wireshark do analizy sieciowej oraz „mvt-ios”: tworzy ono kopię systemu plików i niektóre dane użytkowania. Zdarzenia są posortowane według czasu, co pozwoliło na prześledzenie konkretnych artefaktów, które wskazywały na podejrzaną aktywność.
Jak dochodziło do infekcji?
- Ofiara w iOS otrzymuje wiadomość z załącznikiem w iMessage. Bez jakiejkolwiek interakcji ze strony użytkownika, wiadomość wykorzystuje lukę, która prowadzi do wykonania kodu.
- Złośliwy kod pobiera kilka kolejnych plików z serwera przestępców – exploity do eskalacji uprawnień.
- Pobierany jest docelowy ładunek. Kaspersky twierdzi, że za atakiem stoi zaawansowana grupa przestępcza.
- Na końcu szkodliwe oprogramowanie usuwa początkową wiadomość z iMessage.
Najstarsze wykryte ślady infekcji miały miejsce w 2019 roku. Próby ataku trwają do dzisiaj.
Urządzenia, które skutecznie infekowano zawierały iOS 15.7. Możemy przypuszczać, że atak dotyczy także starszych systemów. iOS 15.7 został wydany we wrześniu 2022 roku.
Firma Kaspersky podaje adresy sieciowe używane w tym cyberataku, dlatego zespoły IT powinny przeskanować całą sieć pod kątem następujących adresów:
addatamarket[.]net
backuprabbit[.]com
businessvideonews[.]com
cloudsponcer[.]com
datamarketplace[.]net
mobilegamerstats[.]com
snoweeanalytics[.]com
tagclick-cdn[.]com
topographyupdates[.]com
unlimitedteacup[.]com
virtuallaughing[.]com
web-trackers[.]com
growthtransport[.]com
anstv[.]net
ans7tv[.]net
Szczegóły techniczne są podane na tej stronie.
Oprogramowanie szpiegujące potrafi zbierać nagrania z mikrofonu, kraść zdjęcia z komunikatorów internetowych, pobierać geolokalizację oraz inne dane dotyczące właściciela zainfekowanego urządzenia.
Kaspersky pracuje nad wydaniem bezpłatnego narzędzia do wykrywania oprogramowania szpiegującego „Triangulation”.
Jesteśmy przekonani, że Kaspersky nie był głównym celem tego cyberataku. Najbliższe dni przyniosą większą jasność i dalsze szczegóły dotyczące światowego rozprzestrzeniania się oprogramowania szpiegującego.
Uważamy, że głównym powodem tego incydentu jest zastrzeżony charakter systemu iOS. Ten system operacyjny jest „czarną skrzynką”, w której oprogramowanie szpiegujące, takie jak Triangulation, może ukrywać się przez lata.
Wykrywanie i analizowanie takich zagrożeń jest utrudnione przez monopol firmy Apple na narzędzia badawcze, co czyni ją idealną przystanią dla programów szpiegujących. Innymi słowy, użytkownicy mają złudzenie bezpieczeństwa związane z całkowitą nieprzejrzystością systemu. To, co faktycznie dzieje się w iOS, jest nieznane ekspertom ds. cyberbezpieczeństwa. Brak wiadomości o atakach wcale nie wskazuje na niemożność samych ataków – co właśnie widzieliśmy.
Kaspersky nie znalazł jeszcze sposobu na usunięcie oprogramowania szpiegującego bez utraty danych użytkownika. Można to zrobić jedynie poprzez zresetowanie zainfekowanych iPhone’ów do ustawień fabrycznych, zainstalowanie od podstaw najnowszej wersji systemu operacyjnego i całego środowiska. W przeciwnym razie nawet jeśli oprogramowanie szpiegujące zostanie usunięte z pamięci urządzenia po ponownym uruchomieniu, Triangulation nadal może ponownie zainfekować urządzenie przez luki w przestarzałej wersji systemu iOS.
Aby przeciwdziałać podobnym atakom w najnowszym iOS, zapoznaj się z nowymi funkcjami bezpieczeństwa dla iOS 16 oraz macOS 13 Ventura.
Aktualizacja 03.06.2023
Kaspersky nie kazał długo czekać. Po kilkunastu godzinach udostępnił narzędzie, które częściowo zautomatyzuje przeszukiwania artefaktów na urządzeniach, jeżeli były kiedykolwiek zainfekowane złośliwym oprogramowaniem z kampanii Triangulation.
Narzędzie triangle_check dostępne jest na github dla Windows, MacOS, Linux i potrafi przeskanować kopię zapasową smartfonu.
Tutaj Kaspersky wyjaśnia, jak używać tego oprogramowania dla iPhone. Sprowadza się to głównie do wykonania kopii zapasowej poprzez iTunes na wspieranym systemie operacyjnym.
Po przeprowadzeniu skanowania narzędzie pokaże 3 możliwe wyniki:
- DETECTED – kiedy zostaną znalezione wskaźniki kompromitacji urządzenia.
- SUSPICION – jeżeli niektóre dane będą przypominały prawdopodobną infekcję.
- No traces of compromise were identified – w przypadku, kiedy urządzenie nie zostało dotknięte przez Triangulation.
Aktualizacja 22.06.2023
Współpraca Kaspersky oraz Apple przyniosła pozytywny rezultat w postaci aktualizacji do iOS 16.5.1 oraz iPadOS 16.5.1.
Apple potwierdziło istnienie exploita i możliwość wykorzystania luki zgłoszonej przez ekspertów Kaspersky z kampanii Triangulation. Aktualizacje dla urządzeń Apple wydano 21 czerwca 2023 r. Zaleca się zainstalowanie poprawek, aby uniemożliwić uruchomienie kodu z uprawnieniami systemowymi.
Czy ten artykuł był pomocny?
Oceniono: 4 razy