Хакер #305. Многошаговые SQL-инъекции
Эксперты «Лаборатории Касперского» выяснили, как хакеры собирали данные жертв в ходе кампании «Операция Триангуляция» (Operation Triangulation). Для этого использовался шпионский имплант, получивший название TriangleDB. Малварь предоставляет хакерам возможности скрытого наблюдения и работает исключительно в памяти iOS-устройства, а ее следы удаляются при перезагрузке.
Напомню, что в начале июня ФСБ и ФСО России сообщили о «разведывательной акции американских спецслужб, проведенной с использованием мобильных устройств фирмы Apple». Вскоре после этого «Лаборатория Касперского» опубликовала развернутый отчет о целевых атаках, нацеленных на устройства, работающие под управлением iOS.
Эта кампания получила название «Операция Триангуляция» (Operation Triangulation) и, по данным «Лаборатории Касперского», целью атак было «незаметное внедрение шпионского модуля в iPhone сотрудников компании — как топ-менеджмента, так и руководителей среднего звена». По данным компании, эти атаки начались еще в 2019 году.
Вскоре после этого компания опубликовала бесплатную утилиту triangle_check, которая позволяет найти следы заражения в резервной копии устройства Apple.
Теперь исследователи «Лаборатории Касперского» представили детальный отчет о малвари TriangleDB, написанной на Objective-C, и рассказали, что имплант загружается на устройства после того, как атакующие получают root-права в результате успешной эксплуатации уязвимости в ядре iOS.
После развертывания вредонос работает исключительно в памяти iOS-устройства, поэтому следы заражения исчезают после перезагрузки. Если жертва перезагружает устройство, злоумышленнику необходимо повторно заразить его, отправив заново iMessage с вредоносным вложением. В случае если перезагрузки устройства не произойдет, имплант автоматически удалится через 30 дней, если злоумышленники не продлят этот срок.
Эксперты пишут, что TriangleDB — это сложное шпионское ПО, которое содержит широкий спектр функций по сбору данных и мониторингу.
В общей сложности малварь может выполнять 24 команды, которые позволяют атакующим запускать разные процессы, в том числе взаимодействовать с файловой системой устройства (включая создание, изменение, кражу и удаление файлов), управлять процессами (получение списка и их завершение), извлекать элементы Keychain для сбора учетных данных и следить за геолокацией жертвы. Также вредонос может запускать дополнительные модули – Mach-O файлы, загружаемые им самим. Эти файлы загружаются рефлективно и хранятся только в памяти.
Анализируя TriangleDB, эксперты обнаружили, что класс CRConfig содержит неиспользуемый метод populateWithFieldsMacOSOnly. Это косвенно указывает на то, что аналогичный имплант может использоваться в атаках на устройства на устройства под управлением macOS.
«Анализируя эту атаку, мы обнаружили сложный имплант для iOS, у которого много примечательных особенностей. Мы продолжаем свое исследование и будем держать в курсе наших новых находок об этой сложной атаке. Мы призываем сообщество специалистов по кибербезопасности объединиться для обмена знаниями и сотрудничества, чтобы получить более четкую картину существующих угроз», — комментирует Леонид Безвершенко, эксперт по кибербезопасности «Лаборатории Касперского».
Исследователи продолжают анализировать кампанию «Операция Триангуляция», и обещают делиться информацией об этой атаке по мере продолжения исследования.