(Aktualizacja 22.06.2023) Bezpieczeństwo na przykładzie cyberataku na pracowników firmy Kaspersky

2 czerwca, 2023

Niezaktualizowany Apple iOS – co mogło pójść nie tak? Firma Kaspersky twierdzi, że doszło do prób włamania do ich systemu informatycznego. Zainfekowanych zostało kilkadziesiąt urządzeń pracowników z powodu niezaktualizowanego iOS 15.7. Analiza śledcza wykazała, że pierwsze próby ataku miały miejsce jeszcze w roku 2019 (wcześniejsze wersje iOS), a najnowsze artefakty ataku są z ostatnich dni w chwili opublikowania tego postu.

Atak został przeprowadzony znanym, ale zaawansowanym schematem: wiadomość tekstowa w iMessage zawierała URL do pliku.

I to wszystko.

To wystarczyło, aby wykonać tzw. atak zero-click. BEZ INTERAKCJI z użytkownikiem smartfonu.

Podatność w iMessage nie wymagała dalszych czynności po stronie ofiary – dochodziło do cichego zainfekowania urządzenia.

Atak wykryto dzięki rozwiązaniu „Kaspersky Unified Monitoring and Analysis Platform”, w skrócie „KUMA”. Jest to produkt klasy SIEM do zarządzania informacjami i zdarzeniami z sieci.

Kaspersky jasno podaje, że jest to „niezwykle zaawansowane technologicznie oprogramowanie szpiegujące”. Nazwano je „Triangulation”.

Eksperci przygotowali szczegółową analizę tego ataku. Z uwagi na zamknięty ekosystem Apple i liczne jego zabezpieczenia nie jest możliwe skanowanie ruchu sieciowego bezpośrednio na urządzeniu. Dlatego wykonano zrzut pamięci offline zainfekowanych urządzeń i przeprowadzono analizę.

Do śledztwa wykorzystano znane oprogramowanie Wireshark do analizy sieciowej oraz „mvt-ios”: tworzy ono kopię systemu plików i niektóre dane użytkowania. Zdarzenia są posortowane według czasu, co pozwoliło na prześledzenie konkretnych artefaktów, które wskazywały na podejrzaną aktywność.

Jak dochodziło do infekcji?

  1. Ofiara w iOS otrzymuje wiadomość z załącznikiem w iMessage. Bez jakiejkolwiek interakcji ze strony użytkownika, wiadomość wykorzystuje lukę, która prowadzi do wykonania kodu.
  2. Złośliwy kod pobiera kilka kolejnych plików z serwera przestępców – exploity do eskalacji uprawnień.
  3. Pobierany jest docelowy ładunek. Kaspersky twierdzi, że za atakiem stoi zaawansowana grupa przestępcza.
  4. Na końcu szkodliwe oprogramowanie usuwa początkową wiadomość z iMessage.

Najstarsze wykryte ślady infekcji miały miejsce w 2019 roku. Próby ataku trwają do dzisiaj.

Urządzenia, które skutecznie infekowano zawierały iOS 15.7. Możemy przypuszczać, że atak dotyczy także starszych systemów. iOS 15.7 został wydany we wrześniu 2022 roku.

Firma Kaspersky podaje adresy sieciowe używane w tym cyberataku, dlatego zespoły IT powinny przeskanować całą sieć pod kątem następujących adresów:

addatamarket[.]net
backuprabbit[.]com
businessvideonews[.]com
cloudsponcer[.]com
datamarketplace[.]net
mobilegamerstats[.]com
snoweeanalytics[.]com
tagclick-cdn[.]com
topographyupdates[.]com
unlimitedteacup[.]com
virtuallaughing[.]com
web-trackers[.]com
growthtransport[.]com
anstv[.]net
ans7tv[.]net

Szczegóły techniczne są podane na tej stronie.

Oprogramowanie szpiegujące potrafi zbierać nagrania z mikrofonu, kraść zdjęcia z komunikatorów internetowych, pobierać geolokalizację oraz inne dane dotyczące właściciela zainfekowanego urządzenia.

Kaspersky pracuje nad wydaniem bezpłatnego narzędzia do wykrywania oprogramowania szpiegującego „Triangulation”.

Kaspersky nie znalazł jeszcze sposobu na usunięcie oprogramowania szpiegującego bez utraty danych użytkownika. Można to zrobić jedynie poprzez zresetowanie zainfekowanych iPhone’ów do ustawień fabrycznych, zainstalowanie od podstaw najnowszej wersji systemu operacyjnego i całego środowiska. W przeciwnym razie nawet jeśli oprogramowanie szpiegujące zostanie usunięte z pamięci urządzenia po ponownym uruchomieniu, Triangulation nadal może ponownie zainfekować urządzenie przez luki w przestarzałej wersji systemu iOS.

Aby przeciwdziałać podobnym atakom w najnowszym iOS, zapoznaj się z nowymi funkcjami bezpieczeństwa dla iOS 16 oraz macOS 13 Ventura.

Aktualizacja 03.06.2023

Kaspersky nie kazał długo czekać. Po kilkunastu godzinach udostępnił narzędzie, które częściowo zautomatyzuje przeszukiwania artefaktów na urządzeniach, jeżeli były kiedykolwiek zainfekowane złośliwym oprogramowaniem z kampanii Triangulation.

Narzędzie triangle_check dostępne jest na github dla Windows, MacOS, Linux i potrafi przeskanować kopię zapasową smartfonu.

Tutaj Kaspersky wyjaśnia, jak używać tego oprogramowania dla iPhone. Sprowadza się to głównie do wykonania kopii zapasowej poprzez iTunes na wspieranym systemie operacyjnym.

Po przeprowadzeniu skanowania narzędzie pokaże 3 możliwe wyniki:

  • DETECTED – kiedy zostaną znalezione wskaźniki kompromitacji urządzenia.
  • SUSPICION – jeżeli niektóre dane będą przypominały prawdopodobną infekcję.
  • No traces of compromise were identified – w przypadku, kiedy urządzenie nie zostało dotknięte przez Triangulation.

Aktualizacja 22.06.2023

Współpraca Kaspersky oraz Apple przyniosła pozytywny rezultat w postaci aktualizacji do iOS 16.5.1 oraz iPadOS 16.5.1.

Apple potwierdziło istnienie exploita i możliwość wykorzystania luki zgłoszonej przez ekspertów Kaspersky z kampanii Triangulation. Aktualizacje dla urządzeń Apple wydano 21 czerwca 2023 r. Zaleca się zainstalowanie poprawek, aby uniemożliwić uruchomienie kodu z uprawnieniami systemowymi.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 5 / 5. Liczba głosów: 4

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]