Търсене
Close this search box.

Разкриха шпионски имплант на операция Triangulation, насочен към устройства с iOS

Появиха се повече подробности за шпионския имплант, който се доставя на устройства с iOS като част от кампания, наречена „Операция Триангулация“.

Компанията Kaspersky, която откри операцията, след като стана една от целите в началото на годината, заяви, че зловредният софтуер има продължителност на живот от 30 дни, след което се деинсталира автоматично, освен ако срокът не бъде удължен от нападателите.

Руската компания за киберсигурност е дала кодовото име на задната врата TriangleDB.

„Имплантът се разгръща, след като нападателите получат root привилегии на целевото iOS устройство чрез използване на уязвимост в ядрото“, казват изследователите на Kaspersky в нов доклад, публикуван днес.

„Той се разполага в паметта, което означава, че всички следи от импланта се губят, когато устройството се рестартира. Следователно, ако жертвата рестартира устройството си, нападателите трябва да го инфектират отново, като изпратят iMessage със зловреден прикачен файл, като по този начин стартират цялата верига на експлоатация отново.“

Операция „Триангулация“ включва използването на експлойти с нулево кликване чрез платформата iMessage, като по този начин шпионският софтуер получава пълен контрол върху устройството и данните на потребителя.

„Атаката се извършва с помощта на невидим iMessage със зловреден прикачен файл, който, използвайки редица уязвимости в операционната система iOS, се изпълнява на устройството и инсталира шпионски софтуер“, заяви по-рано Евгений Касперски, главен изпълнителен директор на Kaspersky.

„Внедряването на шпионския софтуер е напълно скрито и не изисква никакви действия от страна на потребителя“.

TriangleDB, написана на Objective-C, представлява сърцевината на скритата рамка. Тя е проектирана да установява криптирани връзки със сървър за командване и контрол (C2) и периодично да изпраща сигнал за сърдечен ритъм, съдържащ метаданни за устройството.

Сървърът, от своя страна, отговаря на съобщенията за сърдечен ритъм с една от 24-те команди, които дават възможност за изхвърляне на данни от iCloud Keychain и зареждане на допълнителни модули на Mach-O в паметта, за да се съберат чувствителни данни.

Това включва, наред с другото, съдържание на файлове, геолокация, инсталирани iOS приложения и изпълнявани процеси. Веригите от атаки завършват с изтриване на първоначалното съобщение, за да се прикрият следите.

По-внимателното разглеждане на изходния код разкри някои необичайни аспекти, при които авторите на зловредния софтуер наричат декриптирането на низове „unmunging“ и присвояват имена от терминологията на базата данни на файловете (record), процесите (schema), C2 сървъра (DB Server) и информацията за геолокацията (DB Status).

Друг забележителен аспект е наличието на рутинната процедура „populateWithFieldsMacOSOnly“. Макар че този метод не се извиква никъде в импланта за iOS, начинът на именуване поражда възможността TriangleDB да бъде въоръжена и за насочване към устройства с macOS.

„Имплантът изисква множество права (разрешения) от операционната система“, казват изследователите на Kaspersky.

„Някои от тях не се използват в кода, като например достъп до камерата, микрофона и адресната книга, или взаимодействие с устройства чрез Bluetooth. По този начин функционалностите, предоставени от тези права, могат да бъдат реализирани в модули“.

Засега не е известно кой стои зад кампанията и какви са крайните му цели. В предишно изявление, споделено с The Hacker News, Apple заяви, че „никога не е работила с което и да е правителство за вкарване на задна врата в който и да е продукт на Apple и никога няма да го направи“.

Руското правителство обаче посочи с пръст САЩ, обвинявайки ги, че са проникнали в „няколко хиляди“ устройства на Apple, принадлежащи на местни абонати и чуждестранни дипломати, като част от операция, за която твърди, че е разузнавателна.

Източник: The Hacker News

Подобни публикации

22 юни 2024

Пробивът в JAXA не е довел до изтичане на важна...

Японската космическа агенция твърди, че няма изтичане на класифицир...

Cyber Europe тества енергийния сектор

Седмото издание на Cyber Europe, едно от най-големите учения за киб...
22 юни 2024

ЕВРО 2024: Хакери удариха излъчването на Полша ...

Хакери нарушиха онлайн излъчването на мача на Полша с Австрия от Ев...
22 юни 2024

Panera Bread призна за изтичане на данни

Американската верига за бързо хранене Panera Bread е започнала да у...
21 юни 2024

Change Healthcare най-после с подробности за ат...

UnitedHealth за първи път потвърди какви видове медицински данни и ...
21 юни 2024

САЩ наложиха санкции на 12 ръководители на Kasp...

Службата за контрол на чуждестранните активи (OFAC) към Министерств...
21 юни 2024

Хакери на Хамас шпионират Палестина и Египет

Хакери, свързани с Хамас, са замесени в пет кампании за кибершпиона...
20 юни 2024

Сериозна уязвимост на Phoenix UEFI

Стотици модели компютри и сървъри, които използват процесори на Int...
20 юни 2024

Измама на Markopolo е насочена към потребителит...

Установен е извършител на заплаха с псевдоним markopolo, който стои...
Бъдете социални
Още по темата
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
26/03/2024

Apple е пестелива на подроб...

Apple пусна iOS 17.4.1, най-новата си...
06/03/2024

Apple поправя два нови нуле...

Apple пусна спешни актуализации на сигурността,...
Последно добавени
22/06/2024

Пробивът в JAXA не е довел ...

Японската космическа агенция твърди, че няма...
22/06/2024

Cyber Europe тества енергий...

Седмото издание на Cyber Europe, едно...
22/06/2024

ЕВРО 2024: Хакери удариха и...

Хакери нарушиха онлайн излъчването на мача...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!