Появиха се повече подробности за шпионския имплант, който се доставя на устройства с iOS като част от кампания, наречена „Операция Триангулация“.
Компанията Kaspersky, която откри операцията, след като стана една от целите в началото на годината, заяви, че зловредният софтуер има продължителност на живот от 30 дни, след което се деинсталира автоматично, освен ако срокът не бъде удължен от нападателите.
Руската компания за киберсигурност е дала кодовото име на задната врата TriangleDB.
„Имплантът се разгръща, след като нападателите получат root привилегии на целевото iOS устройство чрез използване на уязвимост в ядрото“, казват изследователите на Kaspersky в нов доклад, публикуван днес.
„Той се разполага в паметта, което означава, че всички следи от импланта се губят, когато устройството се рестартира. Следователно, ако жертвата рестартира устройството си, нападателите трябва да го инфектират отново, като изпратят iMessage със зловреден прикачен файл, като по този начин стартират цялата верига на експлоатация отново.“
Операция „Триангулация“ включва използването на експлойти с нулево кликване чрез платформата iMessage, като по този начин шпионският софтуер получава пълен контрол върху устройството и данните на потребителя.
„Атаката се извършва с помощта на невидим iMessage със зловреден прикачен файл, който, използвайки редица уязвимости в операционната система iOS, се изпълнява на устройството и инсталира шпионски софтуер“, заяви по-рано Евгений Касперски, главен изпълнителен директор на Kaspersky.
„Внедряването на шпионския софтуер е напълно скрито и не изисква никакви действия от страна на потребителя“.
TriangleDB, написана на Objective-C, представлява сърцевината на скритата рамка. Тя е проектирана да установява криптирани връзки със сървър за командване и контрол (C2) и периодично да изпраща сигнал за сърдечен ритъм, съдържащ метаданни за устройството.
Сървърът, от своя страна, отговаря на съобщенията за сърдечен ритъм с една от 24-те команди, които дават възможност за изхвърляне на данни от iCloud Keychain и зареждане на допълнителни модули на Mach-O в паметта, за да се съберат чувствителни данни.
Това включва, наред с другото, съдържание на файлове, геолокация, инсталирани iOS приложения и изпълнявани процеси. Веригите от атаки завършват с изтриване на първоначалното съобщение, за да се прикрият следите.
По-внимателното разглеждане на изходния код разкри някои необичайни аспекти, при които авторите на зловредния софтуер наричат декриптирането на низове „unmunging“ и присвояват имена от терминологията на базата данни на файловете (record), процесите (schema), C2 сървъра (DB Server) и информацията за геолокацията (DB Status).
Друг забележителен аспект е наличието на рутинната процедура „populateWithFieldsMacOSOnly“. Макар че този метод не се извиква никъде в импланта за iOS, начинът на именуване поражда възможността TriangleDB да бъде въоръжена и за насочване към устройства с macOS.
„Имплантът изисква множество права (разрешения) от операционната система“, казват изследователите на Kaspersky.
„Някои от тях не се използват в кода, като например достъп до камерата, микрофона и адресната книга, или взаимодействие с устройства чрез Bluetooth. По този начин функционалностите, предоставени от тези права, могат да бъдат реализирани в модули“.
Засега не е известно кой стои зад кампанията и какви са крайните му цели. В предишно изявление, споделено с The Hacker News, Apple заяви, че „никога не е работила с което и да е правителство за вкарване на задна врата в който и да е продукт на Apple и никога няма да го направи“.
Руското правителство обаче посочи с пръст САЩ, обвинявайки ги, че са проникнали в „няколко хиляди“ устройства на Apple, принадлежащи на местни абонати и чуждестранни дипломати, като част от операция, за която твърди, че е разузнавателна.
