Появились новые подробности о шпионском импланте, который поставляется на устройства iOS в рамках хакерской кампании под названием «Операция Триангуляция».
«Лаборатория Касперского» обнаружившая эту атаку, сообщила, что срок действия вредоносной программы составляет 30 дней, после чего она автоматически удаляется, если злоумышленники не продлят этот срок.
Российская компания по кибербезопасности присвоила бэкдору кодовое название TriangleDB.
«Имплант, который мы назвали TriangleDB, загружается на устройства после того, как атакующие получают root-права в результате успешной эксплуатации уязвимости в ядре iOS. Имплант работает только в оперативной памяти, следовательно, все его следы теряются при перезагрузке устройства», – говорится в опубликованном сегодня отчёте исследователей.
«То есть, если жертва перезагружает устройство, то атакующим приходится перезаражать его: отправлять сообщение iMessage с вредоносным вложением и вновь инициировать всю цепочку заражения. Если же перезагрузки не происходит, то имплант работает на протяжении 30 дней и, если злоумышленники не продлевают этот срок, затем самоудаляется».
Операция Triangulation подразумевает использование эксплойтов с нулевым кликом через iMessage, что позволяет шпионскому ПО полностью контролировать устройство и данные пользователя.
«Установка шпионского ПО полностью скрыта и не требует никаких действий от пользователя».
TriangleDB, написанный на языке Objective-C, составляет основу секретной структуры. Она предназначена для установления зашифрованных соединений с командно-контрольным (C2) сервером и периодической отправки сигнала, содержащего метаданные устройства.
Сервер, в свою очередь, отвечает на сигналы одной из 24 команд, которые позволяют сбросить данные «Связка ключей iCloud» и загрузить в память дополнительные модули формата Mach-O для сбора конфиденциальных данных.
Среди прочего, это содержимое файлов, геолокация, установленные приложения на iOS, запущенные процессы. Цепочки атак завершаются стиранием исходного сообщения для сокрытия следов.
Более внимательное изучение исходного кода выявило некоторые необычные аспекты, где авторы вредоносной программы называют расшифровку строк странным термином unmunging
и присваивают имена из терминологии баз данных файлам (record), процессам (schema), серверу C2 (DB Server) и геолокационной информации (DB Status).
Ещё один примечательный аспект — наличие процедуры populateWithFieldsMacOSOnly
. Хотя этот метод нигде не вызывается в импланте для iOS, можно предположить, что TriangleDB может быть использован для атак на устройства под управлением macOS.
«Имплант запрашивает набор прав (англ. entitlements) у операционной системы. Некоторые из них не используются в коде, например, доступ к камере, микрофону, адресной книге или же взаимодействие через Bluetooth. Функции, доступ к которым позволяют получить эти права, могут быть использованы в дополнительных модулях».
В настоящее время неизвестно, кто стоит за этой хакерской кампанией и каковы её конечные цели. Apple в своём предыдущем заявлении отметила, что «никогда не сотрудничала ни с одним правительством для установки бэкдоров в любой продукт Apple и никогда не будет этого делать».
Российское ФСБ, ранее обвинило США во взломе «нескольких тысяч» устройств Apple, принадлежащих отечественным абонентам и иностранным дипломатам.
Спустя пару дней специалисты ЛК выпустили специальное ПО для обнаружения трояна на iOS-устройствах.
Ещё по теме: