Эксперты «Лаборатории Касперского» выяснили, как хакеры собирали данные жертв в ходе кампании «Операция Триангуляция» (Operation Triangulation). Для этого использовался шпионский имплант, получивший название TriangleDB. Малварь предоставляет хакерам возможности скрытого наблюдения и работает исключительно в памяти iOS-устройства, а ее следы удаляются при перезагрузке.

Напомню, что в начале июня ФСБ и ФСО России сообщили о «разведывательной акции американских спецслужб, проведенной с использованием мобильных устройств фирмы Apple». Вскоре после этого «Лаборатория Касперского» опубликовала развернутый отчет о целевых атаках, нацеленных на устройства, работающие под управлением iOS.

Эта кампания получила название «Операция Триангуляция» (Operation Triangulation) и, по данным «Лаборатории Касперского», целью атак было «незаметное внедрение шпионского модуля в iPhone сотрудников компании — как топ-менеджмента, так и руководителей среднего звена». По данным компании, эти атаки начались еще в 2019 году.

Вскоре после этого компания опубликовала бесплатную утилиту triangle_check, которая позволяет найти следы заражения в резервной копии устройства Apple.

Теперь исследователи «Лаборатории Касперского» представили детальный отчет о малвари TriangleDB, написанной на Objective-C, и рассказали, что имплант загружается на устройства после того, как атакующие получают root-права в результате успешной эксплуатации уязвимости в ядре iOS.

После развертывания вредонос работает исключительно в памяти iOS-устройства, поэтому следы заражения исчезают после перезагрузки. Если жертва перезагружает устройство, злоумышленнику необходимо повторно заразить его, отправив заново iMessage с вредоносным вложением. В случае если перезагрузки устройства не произойдет, имплант автоматически удалится через 30 дней, если злоумышленники не продлят этот срок.

Эксперты пишут, что TriangleDB — это сложное шпионское ПО, которое содержит широкий спектр функций по сбору данных и мониторингу.

В общей сложности малварь может выполнять 24 команды, которые позволяют атакующим запускать разные процессы, в том числе взаимодействовать с файловой системой устройства (включая создание, изменение, кражу и удаление файлов), управлять процессами (получение списка и их завершение), извлекать элементы Keychain для сбора учетных данных и следить за геолокацией жертвы. Также вредонос может запускать дополнительные модули – Mach-O файлы, загружаемые им самим. Эти файлы загружаются рефлективно и хранятся только в памяти.

Анализируя TriangleDB, эксперты обнаружили, что класс CRConfig содержит неиспользуемый метод populateWithFieldsMacOSOnly. Это косвенно указывает на то, что аналогичный имплант может использоваться в атаках на устройства на устройства под управлением macOS.

«Анализируя эту атаку, мы обнаружили сложный имплант для iOS, у которого много примечательных особенностей. Мы продолжаем свое исследование и будем держать в курсе наших новых находок об этой сложной атаке. Мы призываем сообщество специалистов по кибербезопасности объединиться для обмена знаниями и сотрудничества, чтобы получить более четкую картину существующих угроз», — комментирует Леонид Безвершенко, эксперт по кибербезопасности «Лаборатории Касперского».

Исследователи продолжают анализировать кампанию «Операция Триангуляция», и обещают делиться информацией об этой атаке по мере продолжения исследования.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии