Η Ρωσία λέει ότι οι ΗΠΑ χάκαραν χιλιάδες iPhone σε επιθέσεις με μηδενικό κλικ στο iOS
Related Posts
Η ρωσική εταιρεία κυβερνοασφάλειας Kaspersky λέει ότι ορισμένα iPhone στο δίκτυό της παραβιάστηκαν χρησιμοποιώντας μια ευπάθεια iOS που εγκατέστησε κακόβουλο λογισμικό μέσω εκμεταλλεύσεων μηδενικού κλικ στο iMessage.
Η παράδοση του μηνύματος εκμεταλλεύεται μια ευπάθεια που οδηγεί σε εκτέλεση κώδικα χωρίς να απαιτείται καμία αλληλεπίδραση με τον χρήστη, οδηγώντας στη λήψη πρόσθετων κακόβουλων από τον διακομιστή των εισβολέων.
Στη συνέχεια, το μήνυμα και το συνημμένο διαγράφονται από τη συσκευή. Ταυτόχρονα, το ωφέλιμο φορτίο παραμένει πίσω, τρέχοντας με δικαιώματα root για συλλογή πληροφοριών συστήματος και χρήστη και εκτέλεση εντολών που στέλνουν οι εισβολείς.
Η Kaspersky λέει ότι η καμπάνια ξεκίνησε το 2019 και
αναφέρει τις επιθέσεις
είναι ακόμη σε εξέλιξη. Η εταιρεία κυβερνοασφάλειας ονόμασε την εκστρατεία “Επιχείρηση Τριγωνισμός” και προσκαλεί όποιον γνωρίζει περισσότερα για αυτήν να
κοινοποιήστε πληροφορίες
.
Ανάλυση του κακόβουλου λογισμικού
Καθώς είναι αδύνατο να αναλυθεί το iOS από τη συσκευή, η Kaspersky χρησιμοποίησε το
Κινητό Εργαλειοθήκη επαλήθευσης
για να δημιουργήσετε αντίγραφα ασφαλείας του συστήματος αρχείων των μολυσμένων iPhone για να ανακτήσετε πληροφορίες σχετικά με τη διαδικασία επίθεσης και τη λειτουργία του κακόβουλου λογισμικού.
Ενώ το κακόβουλο λογισμικό επιχειρεί να διαγράψει τα ίχνη της επίθεσης από συσκευές, εξακολουθεί να αφήνει σημάδια μόλυνσης, όπως τροποποιήσεις αρχείων συστήματος που εμποδίζουν την εγκατάσταση ενημερώσεων iOS, μη φυσιολογική χρήση δεδομένων και εισαγωγή καταργημένων βιβλιοθηκών.
Η ανάλυση αποκάλυψε ότι τα πρώτα σημάδια μόλυνσης εμφανίστηκαν το 2019 και η πιο πρόσφατη έκδοση iOS που μολύνθηκε από το κακόβουλο σύνολο εργαλείων είναι η 15.7.
Κακόβουλο κρυπτογραφημένο συνημμένο
(Kaspersky)
Λάβετε υπόψη ότι η τελευταία σημαντική έκδοση iOS είναι η 16.5, η οποία μπορεί να έχει ήδη διορθώσει την ευπάθεια που χρησιμοποιείται σε αυτές τις επιθέσεις κακόβουλου λογισμικού.
Το exploit που αποστέλλεται μέσω του iMessage ενεργοποιεί μια άγνωστη ευπάθεια στο iOS για την εκτέλεση κώδικα, λαμβάνοντας τα επόμενα στάδια από τον διακομιστή του εισβολέα, συμπεριλαμβανομένων των εκμεταλλεύσεων κλιμάκωσης προνομίων.
Η εταιρεία ασφαλείας έχει παράσχει μια λίστα με 15 τομείς που σχετίζονται με αυτήν την κακόβουλη δραστηριότητα, τους οποίους οι διαχειριστές ασφαλείας μπορούν να χρησιμοποιήσουν για να ελέγξουν ιστορικά αρχεία καταγραφής DNS για πιθανά σημάδια εκμετάλλευσης στις συσκευές τους.
Ακολουθία εκμετάλλευσης δικτύου
(Kaspersky)
Μετά την κλιμάκωση των δικαιωμάτων root, το κακόβουλο λογισμικό κατεβάζει ένα πλήρες σύνολο εργαλείων που εκτελεί εντολές για τη συλλογή πληροφοριών συστήματος και χρήστη και τη λήψη πρόσθετων λειτουργικών μονάδων από το C2.
Η Kaspersky σημειώνει ότι το σύνολο εργαλείων APT που έπεσε στη συσκευή δεν έχει μηχανισμούς επιμονής, επομένως μια επανεκκίνηση θα το σταματούσε ουσιαστικά.
Αυτή τη στιγμή, μόνο μερικές λεπτομέρειες σχετικά με τις λειτουργίες του κακόβουλου λογισμικού δόθηκαν στη δημοσιότητα, καθώς η ανάλυση του τελικού ωφέλιμου φορτίου είναι ακόμη σε εξέλιξη.
Η Ρωσία κατηγορεί την NSA για επιθέσεις
Σε μια δήλωση που συμπίπτει με την έκθεση της Kaspersky, η υπηρεσία πληροφοριών και ασφάλειας της Ρωσίας FSB ισχυρίζεται ότι η Apple σκόπιμα παρείχε στην NSA μια κερκόπορτα που μπορεί να χρησιμοποιήσει για να μολύνει τα iPhone στη χώρα με λογισμικό υποκλοπής.
ο
Η FSB ισχυρίζεται
ότι έχει ανακαλύψει μολύνσεις από κακόβουλο λογισμικό σε χιλιάδες iPhone της Apple που ανήκουν σε αξιωματούχους της ρωσικής κυβέρνησης και προσωπικό από τις πρεσβείες του Ισραήλ, της Κίνας και πολλών κρατών μελών του ΝΑΤΟ στη Ρωσία.
Παρά τη σοβαρότητα των καταγγελιών, η FSB δεν παρείχε καμία απόδειξη για τους ισχυρισμούς της.
Το ρωσικό κράτος έχει
συνιστάται προηγουμένως
ότι όλοι οι υπάλληλοι και τα μέλη της προεδρικής διοίκησης δεν χρησιμοποιούν Apple iPhone και, ει δυνατόν, εγκαταλείπουν εντελώς την αμερικανική τεχνολογία.
Η Kaspersky επιβεβαίωσε στο BleepingComputer ότι η επίθεση επηρέασε τα κεντρικά γραφεία της στη Μόσχα και υπαλλήλους σε άλλες χώρες. Ωστόσο, η εταιρεία δήλωσε ότι δεν είναι σε θέση να επαληθεύσει τη σχέση μεταξύ των ευρημάτων της και της έκθεσης της FSB, καθώς δεν έχουν τις τεχνικές λεπτομέρειες της κυβερνητικής έρευνας.
Ωστόσο, το CERT της Ρωσίας κυκλοφόρησε
μια ειδοποίηση
συνδέοντας τη δήλωση της FSB με την έκθεση της Kaspersky.
Η BleepingComputer επικοινώνησε με την Apple για να ζητήσει ένα σχόλιο τόσο για τα ευρήματα της Kaspersky όσο και για τους ισχυρισμούς της FSB, αλλά ακόμα περιμένουμε να λάβουμε απάντηση.
