Ngày 21 tháng 6 năm 2023Ravie LakshmananBảo mật di động / Phần mềm gián điệp
Đã có thêm thông tin chi tiết về phần mềm gián điệp cấy ghép được gửi đến các thiết bị iOS như một phần của chiến dịch có tên là Operation Triangulation.
Kaspersky, công ty đã phát hiện ra hoạt động này sau khi trở thành một trong những mục tiêu vào đầu năm, cho biết phần mềm độc hại này có tuổi thọ là 30 ngày, sau đó nó sẽ tự động bị gỡ cài đặt trừ khi khoảng thời gian đó được kéo dài bởi những kẻ tấn công.
Công ty an ninh mạng của Nga đặt tên mã cho cửa hậu Tam giácDB.
Các nhà nghiên cứu của Kaspersky cho biết trong một báo cáo mới được công bố hôm nay: “Bộ cấy được triển khai sau khi những kẻ tấn công có được quyền root trên thiết bị iOS mục tiêu bằng cách khai thác lỗ hổng kernel”.
“Nó được triển khai trong bộ nhớ, nghĩa là tất cả dấu vết của phần mềm cấy ghép sẽ bị mất khi thiết bị được khởi động lại. Do đó, nếu nạn nhân khởi động lại thiết bị của họ, những kẻ tấn công phải lây nhiễm lại thiết bị bằng cách gửi một iMessage có tệp đính kèm độc hại, do đó khởi chạy toàn bộ chuỗi khai thác một lần nữa.”
Operation Triangulation đòi hỏi phải sử dụng khai thác zero-click thông qua nền tảng iMessage, do đó cho phép phần mềm gián điệp kiểm soát hoàn toàn thiết bị và dữ liệu người dùng.
“Cuộc tấn công được thực hiện bằng cách sử dụng một iMessage vô hình có tệp đính kèm độc hại, sử dụng một số lỗ hổng trong hệ điều hành iOS, được thực thi trên một thiết bị và cài đặt phần mềm gián điệp”, Eugene Kaspersky, Giám đốc điều hành của Kaspersky, cho biết trước đây.
“Việc triển khai phần mềm gián điệp hoàn toàn ẩn và không yêu cầu người dùng thực hiện hành động nào.”
TriangleDB, được viết bằng Objective-C, tạo thành mấu chốt của khung bí mật. Nó được thiết kế để thiết lập các kết nối được mã hóa với máy chủ chỉ huy và kiểm soát (C2) và định kỳ gửi báo hiệu nhịp tim có chứa siêu dữ liệu của thiết bị.
Về phần mình, máy chủ phản hồi các thông báo nhịp tim bằng một trong 24 lệnh cho phép kết xuất dữ liệu Chuỗi khóa iCloud và tải các mô-đun Mach-O bổ sung trong bộ nhớ để thu thập dữ liệu nhạy cảm.
Điều này bao gồm nội dung tệp, vị trí địa lý, các ứng dụng iOS đã cài đặt và các quy trình đang chạy, trong số những thứ khác. Chuỗi tấn công lên đến đỉnh điểm với việc xóa tin nhắn ban đầu để che dấu vết.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
🔐 Làm chủ bảo mật API: Hiểu bề mặt tấn công thực sự của bạn
Khám phá các lỗ hổng chưa được khai thác trong hệ sinh thái API của bạn và chủ động thực hiện các bước hướng tới bảo mật bọc thép. Tham gia hội thảo trên web sâu sắc của chúng tôi!
tham gia phiên
Kiểm tra kỹ hơn mã nguồn đã tiết lộ một số khía cạnh bất thường trong đó tác giả phần mềm độc hại đề cập đến việc giải mã chuỗi là “không trộn lẫn” và gán tên từ thuật ngữ cơ sở dữ liệu cho tệp (bản ghi), quy trình (lược đồ), máy chủ C2 (Máy chủ DB) và vị trí địa lý thông tin (Trạng thái DB).
Một khía cạnh đáng chú ý khác là sự hiện diện của quy trình “populateWithFieldsMacOSOnly.” Mặc dù phương pháp này không được gọi trong bộ cấy iOS, nhưng quy ước đặt tên làm tăng khả năng TriangleDB cũng có thể được vũ khí hóa để nhắm mục tiêu các thiết bị macOS.
Các nhà nghiên cứu của Kaspersky cho biết: “Bộ cấy yêu cầu nhiều quyền (quyền) từ hệ điều hành.
“Một số trong số chúng không được sử dụng trong mã, chẳng hạn như quyền truy cập vào máy ảnh, micrô và sổ địa chỉ hoặc tương tác với các thiết bị qua Bluetooth. Do đó, các chức năng được cấp bởi các quyền này có thể được triển khai trong các mô-đun.”
Hiện vẫn chưa biết ai đứng sau chiến dịch và mục tiêu cuối cùng của họ là gì. Apple, trong một tuyên bố trước đây được chia sẻ với The Hacker News, cho biết họ “chưa bao giờ làm việc với bất kỳ chính phủ nào để chèn một cửa hậu vào bất kỳ sản phẩm nào của Apple và sẽ không bao giờ.”
Tuy nhiên, chính phủ Nga đã chỉ trích Mỹ, cáo buộc nước này đột nhập vào “vài nghìn” thiết bị Apple của các thuê bao trong nước và các nhà ngoại giao nước ngoài như một phần của cái mà họ cho là hoạt động do thám.
