Специалисты по информационной безопасности из «Лаборатории Касперского» рассказали, как кибершпионы собирали данные с устройств на iOS. Исследователи выяснили, что хакерам удалось выполнять сбор информации с гаджетов жертв в рамках реализации киберпреступной «Операции Триангуляция».
По словам экспертов российской компании, для этой цели использовался шпионский имплант, именуемый TriangleDB.
Он представлен в виде вредоносного ПО, предоставлявшего киберпреступникам возможность скрытого наблюдения. Программа работает только в памяти устройства, и все следы ее деятельности стираются при перезагрузке. Внедрение импланта TriangleDB происходит при успешном использовании уязвимости ядра для получения привилегий суперпользователя на целевом устройстве под управлением iOS.
После развертывания, имплант продолжает работать в памяти устройства, поэтому следы заражения исчезают после перезагрузки. Если пользователь перезагружает устройство, киберпреступнику нужно заново его заражать, что запускает весь процесс эксплуатации уязвимости с начала. Если перезагрузка не происходит, то удаление импланта автоматически происходит через 30 суток, если киберпреступник самостоятельно не продлит этот срок.
TriangleDB является сложным шпионским ПО, включающим широкий спектр функций для сбора конфиденциальной информации и мониторинга. Вредоносное ПО этого типа выполняет 24 команды, позволяющие киберпреступникам запускать различные процессы, взаимодействовать с файловой системой целевого устройства, управлять процессами, извлекать данные из связки ключей и отслеживать геолокацию пользователя.
В ходе анализа TriangleDB специалисты «Лаборатории Касперского» выяснили, что класс класс CRConfig включает в себя не применяемый метод populateWithFieldsMacOSOnly. Это свидетельствует о том, что аналогичный имплант может быть применен и на устройствах, работающих на операционной системе MacOS.
Ранее в «Лаборатории Касперского» сообщили, что многие пользователи, в том числе и сотрудники компании, находятся в зоне риска проведения на их iOS-устройства целевых атак.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
