Търсене
Close this search box.

Разкриха шпионски имплант на операция Triangulation, насочен към устройства с iOS

Появиха се повече подробности за шпионския имплант, който се доставя на устройства с iOS като част от кампания, наречена „Операция Триангулация“.

Компанията Kaspersky, която откри операцията, след като стана една от целите в началото на годината, заяви, че зловредният софтуер има продължителност на живот от 30 дни, след което се деинсталира автоматично, освен ако срокът не бъде удължен от нападателите.

Руската компания за киберсигурност е дала кодовото име на задната врата TriangleDB.

„Имплантът се разгръща, след като нападателите получат root привилегии на целевото iOS устройство чрез използване на уязвимост в ядрото“, казват изследователите на Kaspersky в нов доклад, публикуван днес.

„Той се разполага в паметта, което означава, че всички следи от импланта се губят, когато устройството се рестартира. Следователно, ако жертвата рестартира устройството си, нападателите трябва да го инфектират отново, като изпратят iMessage със зловреден прикачен файл, като по този начин стартират цялата верига на експлоатация отново.“

Операция „Триангулация“ включва използването на експлойти с нулево кликване чрез платформата iMessage, като по този начин шпионският софтуер получава пълен контрол върху устройството и данните на потребителя.

„Атаката се извършва с помощта на невидим iMessage със зловреден прикачен файл, който, използвайки редица уязвимости в операционната система iOS, се изпълнява на устройството и инсталира шпионски софтуер“, заяви по-рано Евгений Касперски, главен изпълнителен директор на Kaspersky.

„Внедряването на шпионския софтуер е напълно скрито и не изисква никакви действия от страна на потребителя“.

TriangleDB, написана на Objective-C, представлява сърцевината на скритата рамка. Тя е проектирана да установява криптирани връзки със сървър за командване и контрол (C2) и периодично да изпраща сигнал за сърдечен ритъм, съдържащ метаданни за устройството.

Сървърът, от своя страна, отговаря на съобщенията за сърдечен ритъм с една от 24-те команди, които дават възможност за изхвърляне на данни от iCloud Keychain и зареждане на допълнителни модули на Mach-O в паметта, за да се съберат чувствителни данни.

Това включва, наред с другото, съдържание на файлове, геолокация, инсталирани iOS приложения и изпълнявани процеси. Веригите от атаки завършват с изтриване на първоначалното съобщение, за да се прикрият следите.

По-внимателното разглеждане на изходния код разкри някои необичайни аспекти, при които авторите на зловредния софтуер наричат декриптирането на низове „unmunging“ и присвояват имена от терминологията на базата данни на файловете (record), процесите (schema), C2 сървъра (DB Server) и информацията за геолокацията (DB Status).

Друг забележителен аспект е наличието на рутинната процедура „populateWithFieldsMacOSOnly“. Макар че този метод не се извиква никъде в импланта за iOS, начинът на именуване поражда възможността TriangleDB да бъде въоръжена и за насочване към устройства с macOS.

„Имплантът изисква множество права (разрешения) от операционната система“, казват изследователите на Kaspersky.

„Някои от тях не се използват в кода, като например достъп до камерата, микрофона и адресната книга, или взаимодействие с устройства чрез Bluetooth. По този начин функционалностите, предоставени от тези права, могат да бъдат реализирани в модули“.

Засега не е известно кой стои зад кампанията и какви са крайните му цели. В предишно изявление, споделено с The Hacker News, Apple заяви, че „никога не е работила с което и да е правителство за вкарване на задна врата в който и да е продукт на Apple и никога няма да го направи“.

Руското правителство обаче посочи с пръст САЩ, обвинявайки ги, че са проникнали в „няколко хиляди“ устройства на Apple, принадлежащи на местни абонати и чуждестранни дипломати, като част от операция, за която твърди, че е разузнавателна.

Източник: The Hacker News

Подобни публикации

27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
27 февруари 2024

Защо автоматизацията е от съществено значение з...

Областта на киберсигурността се разширява, което води след себе си ...
27 февруари 2024

Киберсигурност - четки за зъби, дронове и джуджета

Звучи като виц, но всички тези истории са станали популярни през по...
27 февруари 2024

САЩ и НАТО: Руските хакери преминават към облач...

Членовете на разузнавателния алианс „Пет очи“ (FVEY) пр...
27 февруари 2024

ThyssenKrupp потвърждава кибератака

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата седми...
27 февруари 2024

SubdoMailing - развива се агресивна измамна кам...

Мащабна кампания за рекламни измами, наречена „SubdoMailing&#...
27 февруари 2024

Реакция на пробива в сигурността на AnyDesk с р...

Нарушението и реакцията на AnyDesk На 2 февруари приложението за от...
26 февруари 2024

Организациите са изправени пред големи санкции ...

Това може да се превърне в кошмар за правоприлагащите органи –...
Бъдете социални
Още по темата
25/02/2024

Apple добавя PQ3 квантовоус...

Apple добавя към услугата за незабавни...
16/02/2024

LastPass предупреждава за о...

LastPass предупреждава своите потребители за измамно...
01/02/2024

CISA предупреждава за попра...

Днес CISA предупреди, че поправен недостатък...
Последно добавени
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Защо автоматизацията е от с...

Областта на киберсигурността се разширява, което...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!