Эксперты «Лаборатории Касперского» провели технический анализ инструмента TriangleDB, работающего в памяти мобильных устройств на iOS. Это шпионский имплант для заражения iPhone вредоносным ПО под названием «Операция Триангуляция» (Operation Triangulation).
В начале июня 2023 года эксперты из «Лаборатории Касперского» раскрыли механизм целевой кибератаки с использованием iPhone, который был задействован для незаметного внедрения шпионского модуля на многие смартфоны Apple. Руководитель компании Евгений Касперский подтвердил в своём блоге факт целевой кибератаки на мобильные устройства на iOS сотрудников компании. Целью атаки было незаметное внедрение шпионского модуля в различные iPhone топ-менеджеров и руководителей среднего звена «Лаборатории Касперского».
Техническое описание атаки Operation Triangulation. Также эксперты «Лаборатории Касперского» переслали в ИБ-отдел Apple информацию по Operation Triangulation.
«Лаборатория Касперского» разработала утилиту triangle_check для ПК на операционных системах Windows и Linux, с помощью которой пользователи могут проверить свой iPhone (бэкап системы) на факт заражения вредоносным ПО Operation Triangulation.
В «Лаборатории Касперского» пояснили:
- без проверки резервной копии с помощью утилиты выявить взлом iPhone можно, но намного сложнее, так как надо анализировать трафик от смартфона и обладать навыками сетевого специалиста;
- какие именно данные передаются вовне, непонятно, так как они зашифрованы с помощью SSL и дополнительно ещё своим алгоритмом;
- iOS 15 неуязвима для Operation Triangulation, начиная с версии 15.7.5. Насчёт iOS 16 — пока непонятно, продолжаются исследования эксплойта. В его коде есть заготовки под iOS 16, а на iOS 16.2 некоторые эксплойты перестают работать;
- все центры управления атакой находятся на публичных хостингах Amazon или за Cloudflare, никаких языковых указаний в коде не обнаружено;
- чтобы обезопасить устройство от заражения, нужно отключить iMessage в настройках или переключиться в Lockdown Mode, установить все последние обновления iOS, убедиться в том, что они установились, и только тогда перезагрузить устройство;
- на некоторых устройствах после перезагрузки периодически происходит повторное заражение, если не предпринимать нужных действий по его избежанию;
- у компании ещё много компонентов атаки, кода, которые нужно проанализировать. Эксперты продолжают всё это исследовать, описывать, документировать и публиковать информацию.
21 июня 2023 года эксперты «Лаборатории Касперского» в новом отчёте по этому инциденту раскрыли, как атакующие собирали данные с устройств жертв в ходе заражения по схеме «Операция Триангуляция». Для этого злоумышленники использовали шпионский имплант под названием TriangleDB. Это вредоносное ПО предоставляет третьим лицам возможности скрытого наблюдения за iPhone и работает исключительно в памяти устройства. Все следы его работы удаляются при перезагрузке устройства.
Имплант TriangleDB внедряется после успешной эксплуатации уязвимости ядра системы на базе на iOS для получения привилегий суперпользователя на iPhone. Если жертва перезагружает смартфон, то злоумышленники заново точечно заражают определённую систему, отправив новый iMessage с вредоносным вложением. Если перезагрузка не произойдёт, то имплант автоматически удалится через 30 дней, если злоумышленники не продлят этот срок в рамках проведения своей атаки.
Эксперты выяснили. что имплант TriangleDB написан на Objective-C (языке программирования, который при компиляции сохраняет имена, которые разработчики присвоили методам и атрибутам классов). Имплант удалённо может выполнять 24 команды, которые позволяют злоумышленникам создавать, менять, красть и удалять файлы с iPhone, управлять процессами на смартфоне, извлекать элементы связки ключей для сбора учётных данных и вести мониторинг геолокации пользователя устройства.
В исполняемом файле импланта TriangleDB имена методов необфусцированы, однако имена атрибутов классов представляют собой неинформативные аббревиатуры, что затрудняет понимание их предназначения. В некоторых случаях можно догадаться, что значат сокращения. Например, osV — версия iOS, а iME — IMEI-идентификатор устройства.