Niezaktualizowany Apple iOS – co mogło pójść nie tak? Firma Kaspersky twierdzi, iż doszło do prób włamania do ich systemu informatycznego. Zainfekowanych zostało kilkadziesiąt urządzeń pracowników z powodu niezaktualizowanego iOS 15.7. Analiza śledcza wykazała, iż pierwsze próby ataku miały miejsce jeszcze w roku 2019 (wcześniejsze wersje iOS), a najnowsze artefakty ataku są z ostatnich dni w chwili opublikowania tego postu.
Atak został przeprowadzony znanym, ale zaawansowanym schematem: wiadomość tekstowa w iMessage zawierała URL do pliku.
I to wszystko.
To wystarczyło, aby wykonać tzw. atak zero-click. BEZ INTERAKCJI z użytkownikiem telefonu.
Podatność w iMessage nie wymagała dalszych czynności po stronie ofiary – dochodziło do cichego zainfekowania urządzenia.
Atak wykryto dzięki rozwiązaniu „Kaspersky Unified Monitoring and Analysis Platform”, w uproszczeniu „KUMA”. Jest to produkt klasy SIEM do zarządzania informacjami i zdarzeniami z sieci.
Kaspersky jasno podane, iż jest to „niezwykle zaawansowane technologicznie oprogramowanie szpiegujące”. Nazwano je „Triangulation”.
Firma Kaspersky przygotowała szczegółową analizę tego ataku. Z uwagi na zamknięty ekosystem Apple i liczne jego zabezpieczenia nie jest możliwe skanowanie ruchu sieciowego bezpośrednio na urządzeniu. Dlatego eksperci wykonali zrzut pamięci offline tych urządzeń i przeprowadzili analizę.
Do śledztwa wykorzystano znane oprogramowanie Wireshark do analizy sieciowej oraz „mvt-ios”: tworzy ono kopię systemu plików i niektóre dane użytkowania. Zdarzenia są posortowane według czasu, co pozwoliło na prześledzenie konkretnych artefaktów, które wskazywały na podejrzaną aktywność.
Jak dochodziło do infekcji?
- Ofiara w iOS otrzymuje wiadomość z załącznikiem w iMessage. Bez jakiejkolwiek interakcji ze strony użytkownika, wiadomość wykorzystuje lukę, która prowadzi do wykonania kodu.
- Złośliwy kod pobiera kilka kolejnych plików z serwera przestępców – exploity do eskalacji uprawnień.
- Pobierany jest docelowy ładunek. Kaspersky twierdzi, iż za atakiem stoi zaawansowana grupa przestępcza.
- Na końcu szkodliwe oprogramowanie usuwa początkową wiadomość z iMessage.
Najstarsze wykryte ślady infekcji miały miejsce w 2019 roku. Próby ataku realizowane są do dzisiaj.
Urządzenia, które skutecznie infekowano zawierały iOS 15.7. Możemy przypuszczać, iż atak dotyczy także starszych systemów. iOS 15.7 został wydany we wrześniu 2022 roku.
Firma Kaspersky podaje adresy sieciowe używane w tym cyberataku, dlatego zespoły IT powinny przeskanować całą sieć pod kątem następujących adresów:
addatamarket[.]netbackuprabbit[.]com
businessvideonews[.]com
cloudsponcer[.]com
datamarketplace[.]net
mobilegamerstats[.]com
snoweeanalytics[.]com
tagclick-cdn[.]com
topographyupdates[.]com
unlimitedteacup[.]com
virtuallaughing[.]com
web-trackers[.]com
growthtransport[.]com
anstv[.]net
ans7tv[.]net
Szczegóły techniczne są podane na tej stronie.
Oprogramowanie szpiegujące potrafi zbierać nagrania z mikrofonu, kraść zdjęcia z komunikatorów internetowych, pobierać geolokalizację oraz inne dane dotyczące właściciela zainfekowanego urządzenia.
Kaspersky pracuje nad wydaniem bezpłatnego narzędzia do wykrywania systemu szpiegującego „Triangulation”.
Jesteśmy przekonani, iż Kaspersky nie był głównym celem tego cyberataku. Najbliższe dni przyniosą większą jasność i dalsze szczegóły dotyczące światowego rozprzestrzeniania się systemu szpiegującego.
Uważamy, iż głównym powodem tego incydentu jest zastrzeżony charakter systemu iOS. Ten system operacyjny jest „czarną skrzynką”, w której oprogramowanie szpiegujące, takie jak Triangulation, może ukrywać się przez lata.
Wykrywanie i analizowanie takich zagrożeń jest utrudnione przez monopol firmy Apple na narzędzia badawcze, co czyni ją idealną przystanią dla programów szpiegujących. Innymi słowy, użytkownicy mają złudzenie bezpieczeństwa związane z całkowitą nieprzejrzystością systemu. To, co faktycznie dzieje się w iOS, jest nieznane ekspertom ds. cyberbezpieczeństwa. Brak wiadomości o atakach wcale nie wskazuje na niemożność samych ataków – co właśnie widzieliśmy.
Kaspersky nie znalazł jeszcze sposobu na usunięcie systemu szpiegującego bez utraty danych użytkownika. Można to zrobić jedynie poprzez zresetowanie zainfekowanych iPhone’ów do ustawień fabrycznych, zainstalowanie od podstaw najnowszej wersji systemu operacyjnego i całego środowiska. W przeciwnym razie choćby jeżeli oprogramowanie szpiegujące zostanie usunięte z pamięci urządzenia po ponownym uruchomieniu, Triangulation przez cały czas może ponownie zainfekować urządzenie przez luki w przestarzałej wersji systemu iOS.
Aby przeciwdziałać podobnym atakom w najnowszym iOS, zapoznaj się z nowymi funkcjami bezpieczeństwa dla iOS 16 oraz macOS 13 Ventura.