Найти в Дзене
Код Дурова
15,6 тыс подписчиков

Инструкция: как проверить свой iPhone на следы компрометации

9
3 мин
Больше новостей об IT в Telegram канале «Код Дурова» «Лаборатория Касперского» разработала triangle_check — инструмент для самостоятельной проверки iOS-устройств на следы компрометации в рамках вредоносной кампании Operation Triangulation («Операция Триангуляция»). Подробнее о незаметном внедрении нового шпионского модуля в iPhone компания рассказывала 1 июня. Тогда «Лаборатория Касперского» заявила о целевой кибератаке на менеджмент компании и об опасности распространения «троянского треугольника». Активность, наблюдаемая в «Операции Триангуляция», не пересекается с уже известными шпионскими ПО для взлома iOS по типу Pegasus, Predator или Reign. С помощью утилиты triangle_check можно запустить автоматический поиск следов заражения. Пользователи для этого должны скачать triangle_check с GitHub на компьютер, запустить и проверить с его помощью резервную копию iOS-устройства. Инструкция Создание резервной копии: Windows %appdata%\Apple Computer\MobileSync\Backup macOS Созданная резервная

Больше новостей об IT в Telegram канале «Код Дурова»

«Лаборатория Касперского» разработала triangle_check — инструмент для самостоятельной проверки iOS-устройств на следы компрометации в рамках вредоносной кампании Operation Triangulation («Операция Триангуляция»).

Подробнее о незаметном внедрении нового шпионского модуля в iPhone компания рассказывала 1 июня. Тогда «Лаборатория Касперского» заявила о целевой кибератаке на менеджмент компании и об опасности распространения «троянского треугольника».

Активность, наблюдаемая в «Операции Триангуляция», не пересекается с уже известными шпионскими ПО для взлома iOS по типу Pegasus, Predator или Reign.

С помощью утилиты triangle_check можно запустить автоматический поиск следов заражения. Пользователи для этого должны скачать triangle_check с GitHub на компьютер, запустить и проверить с его помощью резервную копию iOS-устройства.

Инструкция

Создание резервной копии:

Windows

  • Подключите устройство к ПК с установленным iTunes. Разблокируйте устройство и при необходимости подтвердите, что подключенному ПК можно доверять.
  • Устройство должно отображаться в левой панели iTunes. Правой кнопкой мыши нажмите на имя устройства и выберите «Создать резервную копию».
  • Созданная резервная копия будет храниться в директории:

%appdata%\Apple Computer\MobileSync\Backup

macOS

  • Подключите устройство к ПК (с macOS Catalina 10.15 и выше) и при необходимости подтвердите доверие.
  • Устройство должно отображаться в левой панели Finder. Выберите его и нажмите «Создать резервную копию сейчас».

Созданная резервная копия будет храниться в директории:

~/Library/Application Support/MobileSync/Backup/

На версиях macOS до 10.15 резервную копию можно сделать через iTunes. Процесс её создания такой же, как на Windows.

Linux

  • Установите библиотеку libimobiledevice. Для создания резервных копий iOS-устройств нужно скомпилировать её из исходного кода (по сборке находятся в разделе Installation/Getting Started).
  • После установки библиотеки и подключения устройства к ПК резервную копию можно создать командой (возможно потребуется несколько раз ввести код-пароль на устройстве):

idevicebackup2 backup --full <директория, в которую будет сохранена копия>

Использование утилиты triangle_check:

После создания резервной копии следует воспользоваться одним из методов для установки и запуска утилиты.

Универсальный метод для всех ОС — Python-пакет

Python-пакет triangle_check опубликован в глобальном репозитории Python Package Index (PyPI). Установить его можно при помощи системы управления пакетами pip.

  1. Необходимо иметь подключение к интернету и наличие утилиты pip на ПК — она доступна по ссылке.
  2. Найдите на указанной странице пункт get-pip.py и следуйте инструкции по установке.

— Для установки Python-пакета triangle_check из репозитория PyPI введите:

python -m pip install triangle_check

— Для ручной сборки и установки из GitHub-репозитория введите:

git clone https://github.com/KasperskyLab/triangle_checkcd triangle_checkpython -m buildpython -m pip install dist/triangle_check-1.0-py3-none-any.whl

— Для использования Python-пакета triangle_check введите:

python -m triangle_check <путь до созданной резервной копии>

При использовании пакета на macOS возможно появление ошибки «MobileSync: Operation not permitted». Это связано с тем, что у утилиты терминала нет доступа к папке, где хранится созданная резервная копия. Для этого следует предоставить Full Disk Access программе Terminal. Подробнее по ссылке.

Бинарные сборки

Windows:

  • Скачайте архив triangle_check_win.zip из последней опубликованной версии на GitHub и распакуйте его.
  • Запустите интерпретатор командной строки cmd.exe или PowerShell.
  • Перейдите в директорию, в которую был распакован архив. Например:

cd %userprofile%\Downloads\triangle_check_win

  • Вызовите бинарную утилиту triangle_check.exe. Например:

triangle_check.exe "%appdata%\AppleComputer\MobileSync\Backup\00008101-000824411441001E-20230530-143718"

Linux:

  • Скачайте архив triangle_check_linux.zip из последней опубликованной версии на GitHub и распакуйте его.
  • Запустите терминал (командная строка).
  • Перейдите в директорию, в которую был распакован архив. Например:

cd ~/Downloads/triangle_check_linux

  • Установите разрешение на запуск файла:

chmod +x triangle_check

  • Вызовите бинарную утилиту triangle_check. Например:

./triangle_check ~/Desktop/my_backup/00008101-000824411441001E-20230530-143718

Интерпретация результатов.

  • Утилитой выведен результат «DETECTED» — обнаружены конкретные индикаторы компрометации. Это означает, что устройство было заражено.
  • Утилитой выведен результат «SUSPICION» — обнаружены совокупности менее однозначных индикаторов, указывающих на заражение.
  • Утилитой выведен результат «No traces of compromise were identified» — следы заражения Operation Triangulation не найдены.

Больше новостей об IT в Telegram канале «Код Дурова»

Кибербезопасность
25,6 тыс интересуются