Η Kaspersky λέει ότι οι εισβολείς χάκαραν τα iPhone του προσωπικού με άγνωστο κακόβουλο λογισμικό
Related Posts
Η ρωσική εταιρεία κυβερνοασφάλειας Kaspersky είπε ότι χάκερ που εργάζονται για μια κυβέρνηση στόχευσαν αρκετές δεκάδες iPhone εργαζομένων με άγνωστο κακόβουλο λογισμικό.
Την Πέμπτη, η Kaspersky ανακοίνωσε την υποτιθέμενη κυβερνοεπίθεση και
δημοσίευσε μια τεχνική έκθεση που το αναλύει
, όπου η εταιρεία παραδέχτηκε ότι η ανάλυσή της δεν έχει ακόμη ολοκληρωθεί. Η εταιρεία είπε ότι οι χάκερ, οι οποίοι προς το παρόν είναι άγνωστοι, παρέδωσαν το κακόβουλο λογισμικό με μηδενικό κλικ μέσω ενός συνημμένου iMessage και ότι όλα τα συμβάντα συνέβησαν σε χρονικό διάστημα ενός έως τριών λεπτών.
Ο εκπρόσωπος της Kaspersky, Sawyer Van Horn, δήλωσε σε ένα email στο TechCrunch ότι η εταιρεία διαπίστωσε ότι ένα από τα τρωτά σημεία που χρησιμοποιήθηκαν στη λειτουργία είναι
γνωστός
και επιδιορθώθηκε από την Apple τον Δεκέμβριο του 2022, αλλά ενδέχεται να έχει γίνει αντικείμενο εκμετάλλευσης πριν επιδιορθωθεί, μαζί με άλλα τρωτά σημεία. «Αν και δεν υπάρχει σαφής ένδειξη ότι οι ίδιες ευπάθειες είχαν εκμεταλλευτεί στο παρελθόν, είναι πολύ πιθανό», είπε ο εκπρόσωπος.
Οι ερευνητές της Kaspersky είπαν ότι ανακάλυψαν την επίθεση όταν παρατήρησαν «ύποπτη δραστηριότητα που προερχόταν από πολλά τηλέφωνα που βασίζονται σε iOS», ενώ παρακολουθούσαν το δικό τους εταιρικό δίκτυο Wi-Fi. Ο Βαν Χορν είπε ότι οι κυβερνοεπιθέσεις ανακαλύφθηκαν «στις αρχές του τρέχοντος έτους».
Η εταιρεία αποκάλεσε αυτή την υποτιθέμενη πειρατεία εναντίον των εργαζομένων της “
Λειτουργία Τριγωνοποίηση
” και δημιούργησε ένα λογότυπο για αυτό.
Οι ερευνητές της Kaspersky είπαν ότι δημιούργησαν αντίγραφα ασφαλείας εκτός σύνδεσης των στοχευμένων iPhone και τα επιθεώρησαν με ένα εργαλείο που αναπτύχθηκε από τη Διεθνή Αμνηστία που ονομάζεται
Κινητό Εργαλειοθήκη επαλήθευσης
, ή MVT, που τους επέτρεψε να ανακαλύψουν «ίχνη συμβιβασμού». Οι ερευνητές δεν είπαν πότε ανακάλυψαν την επίθεση και είπαν ότι βρήκαν ίχνη της από το 2019 και ότι «η επίθεση βρίσκεται σε εξέλιξη και η πιο πρόσφατη έκδοση των συσκευών που στοχεύτηκαν με επιτυχία είναι το iOS 15.7».
Ενώ το κακόβουλο λογισμικό σχεδιάστηκε για να καθαρίζει τις μολυσμένες συσκευές και να αφαιρεί τα ίχνη του, «είναι δυνατό να εντοπιστεί αξιόπιστα εάν η συσκευή είχε παραβιαστεί», έγραψαν οι ερευνητές.
Στην έκθεση, οι ερευνητές εξήγησαν βήμα προς βήμα πώς ανέλυσαν τις παραβιασμένες συσκευές, περιγράφοντας πώς μπορούν να κάνουν και άλλοι το ίδιο. Ωστόσο, δεν περιλάμβαναν πολλές λεπτομέρειες για το τι βρήκαν χρησιμοποιώντας αυτή τη διαδικασία.
Οι ερευνητές είπαν ότι η παρουσία «γραμμών χρήσης δεδομένων που αναφέρουν τη διαδικασία που ονομάζεται «BackupAgent», ήταν το πιο αξιόπιστο σημάδι ότι ένα iPhone είχε παραβιαστεί και ότι ένα άλλο από τα σημάδια ήταν ότι τα παραβιασμένα iPhone δεν μπορούσαν να εγκαταστήσουν ενημερώσεις iOS.
«Παρατηρήσαμε προσπάθειες ενημέρωσης να τελειώνουν με ένα μήνυμα σφάλματος «Η ενημέρωση λογισμικού απέτυχε. Παρουσιάστηκε σφάλμα κατά τη λήψη του iOS», έγραψαν οι ερευνητές.
Η εταιρεία δημοσίευσε επίσης μια σειρά από διευθύνσεις URL που χρησιμοποιήθηκαν στην επιχείρηση, συμπεριλαμβανομένων ορισμένων με ονόματα όπως Unlimited Teacup και Backup Rabbit.
Η Russian Computer Emergency Response Team (CERT), ένας κυβερνητικός οργανισμός που μοιράζεται πληροφορίες για τις κυβερνοεπιθέσεις, δημοσίευσε μια συμβουλή για την κυβερνοεπίθεση, μαζί με τους ίδιους τομείς που αναφέρει η Kaspersky.
Σε ξεχωριστή δήλωση, η Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσίας (FSB) κατηγόρησε τις αμερικανικές μυστικές υπηρεσίες – αναφέροντας συγκεκριμένα την NSA – για χακάρισμα «χιλιάδων» τηλεφώνων της Apple με στόχο την κατασκοπεία Ρώσων διπλωματών, σύμφωνα με διαδικτυακή μετάφραση. Η FSB κατηγόρησε επίσης την Apple για συνεργασία με τις αμερικανικές υπηρεσίες πληροφοριών. Η FSB δεν παρείχε στοιχεία για τους ισχυρισμούς της.
Η NSA δεν απάντησε αμέσως σε αίτημα για σχόλιο.
Η περιγραφή των επιθέσεων από την FSB απηχεί αυτό που έγραψε η Kaspersky στην έκθεσή της, αλλά δεν είναι σαφές εάν οι δύο επιχειρήσεις συνδέονται.
«Αν και δεν έχουμε τεχνικές λεπτομέρειες για όσα έχουν αναφερθεί από το FSB μέχρι στιγμής, το Ρωσικό Εθνικό Κέντρο Συντονισμού για Συμβάντα Υπολογιστών (NCCCI) έχει ήδη δηλώσει στη δημόσια ειδοποίησή του ότι οι δείκτες συμβιβασμού είναι οι ίδιοι», δήλωσε ο Van Horn. είπε.
Επίσης, η εταιρεία αρνήθηκε να αποδώσει την επιχείρηση σε οποιαδήποτε κυβέρνηση ή ομάδα πειρατείας, λέγοντας ότι «η Kaspersky δεν κάνει πολιτική απόδοση».
«Δεν έχουμε τεχνικές λεπτομέρειες για το τι έχει αναφερθεί από την FSB μέχρι στιγμής, επομένως δεν μπορούμε να κάνουμε καμία τεχνική αναφορά. Κρίνοντας από τα χαρακτηριστικά της κυβερνοεπίθεσης, δεν μπορούμε να συνδέσουμε αυτήν την εκστρατεία κυβερνοκατασκοπείας με οποιονδήποτε υπάρχοντα παράγοντα απειλής», έγραψε ο Βαν Χορν.
Ο εκπρόσωπος είπε επίσης ότι η εταιρεία επικοινώνησε με την Apple το πρωί της Πέμπτης, «πριν στείλει την αναφορά στα εθνικά CERT».
Ο ιδρυτής της εταιρείας, Eugene Kaspersky, έγραψε στο Twitter ότι «είναι αρκετά σίγουροι ότι η Kaspersky δεν ήταν ο κύριος στόχος αυτής της κυβερνοεπίθεσης», ενώ υποσχέθηκε «περισσότερη σαφήνεια και περισσότερες λεπτομέρειες» τις επόμενες ημέρες.
Δεν είναι η πρώτη φορά που χάκερ στοχεύουν την Kaspersky. Το 2015, η εταιρεία ανακοίνωσε ότι μια ομάδα χάκερ εθνικού κράτους, που χρησιμοποιεί κακόβουλο λογισμικό που πιστεύεται ότι αναπτύχθηκε από Ισραηλινούς κατασκόπους,
είχε χακάρει το δίκτυό της
.
Ενημερώθηκε με πρόσθετες λεπτομέρειες από την Kaspersky και περιλαμβάνει τη δήλωση της Apple.
Διορθώθηκε η ημερομηνία στη δεύτερη παράγραφο και στην εικοστή παράγραφο.
Έχετε περισσότερες πληροφορίες σχετικά με αυτές τις κυβερνοεπιθέσεις; Θα θέλαμε να ακούσουμε νέα σας. Μπορείτε να επικοινωνήσετε με τον Lorenzo Franceschi-Bicchierai με ασφάλεια στο Signal στο +1 917 257 1382 ή μέσω Wickr, Telegram and Wire @lorenzofb ή μέσω email στο
Μπορείτε επίσης να επικοινωνήσετε με το TechCrunch μέσω του SecureDrop.
