Российские эксперты из «Лаборатории Касперского» раскрыли механизм целевой кибератаки с использованием iPhone
Российские эксперты из «Лаборатории Касперского» раскрыли механизм целевой кибератаки с использованием iPhone. Руководитель компании Евгений Касперский подтвердил в своём блоге факт целевой кибератаки на смартфоны Apple сотрудников компании. Целью атаки было незаметное внедрение шпионского модуля в различные iPhone топ-менеджеров и руководителей среднего звена «Лаборатории Касперского».
«Атака проводится при помощи невидимого iMessage-сообщения с вредоносным вложением, которое, используя ряд уязвимостей в операционной системе iOS, исполняется на устройстве и устанавливает шпионскую программу», — сообщил Касперский, отметив, что внедрение программы происходит скрытно от пользователя.
После чего вирус входит в систему, используя уязвимости. Это происходит без какого бы то ни было участия самого пользователя. После успешной отработки всех вредоносных компонентов загружается конечная вредоносная нагрузка — полноценная APT-платформа. Сообщение и вложение с эксплойтом удаляются в процессе заражения. В итоге в ходе атаки используется многоступенчатая загрузка вредоноса и полноценный RAT (зачистка следов заражения).
«Далее шпионская программа так же незаметно передаёт на удалённые серверы приватную информацию: записи с микрофона, фотографии из мессенджеров, местоположение и сведения о ряде других активностей владельца заражённого устройства», — пояснил Касперский.
В итоге несколько десятков iPhone сотрудников компании «оказались заражены новой, чрезвычайно технологически сложной шпионской программой, получившей название «Операция Триангуляция» (Operation Triangulation)».
По данным Касперского, из-за закрытости системы iOS не существует каких-либо стандартных средств операционной системы для выявления и удаления подобных вредоносных комплексов.
«Косвенным признаком присутствия Triangulation на устройстве является блокировка возможности обновления iOS», — сообщил Касперский.
Эксперты лаборатории пока не нашли действенного способа удаления шпионской программы без потери пользовательских данных. Малварь бесфайловая, судя по всему — после перезагрузки не сохраняется. Наиболее старое заражение — от 2019 года.
«Это можно сделать только при помощи сброса заражённого iPhone до заводских настроек, установки последней версии операционной системы и всего окружения пользователя с нуля. Иначе, даже будучи удалённым из памяти устройства перезагрузкой, троянец-шпион Triangulation способен провести повторное заражение через уязвимости в устаревшей версии iOS», — подытожил Касперский.
Техническое описание атаки Operation Triangulation.
Ранее ФСБ РФ сообщила, что сотрудники ведомства совместно с ФСО России вскрыли разведывательную акция американских спецслужб, проведённую с использованием мобильных устройств фирмы Apple (США). ФСБ установила, что заражению подверглись несколько тысяч iPhone. При этом, кроме отечественных абонентов, выявлены факты заражения зарубежных номеров и абонентов, использующих СИМ-карты, зарегистрированные на диппредставительства и посольства в России, включая страны блока НАТО и постсоветского пространства, а также Израиль, САР и КНР.
В конце марта в некоторых отделах администрации президента (АП) РФ сотрудникам предложили избавиться от рабочих iPhone до апреля этого года и перейти на другие мобильные устройства для общения. По информации источников СМИ, сотрудникам внутриполитического блока АП, у которых есть iPhone, рекомендовано до 1 апреля поменять их на смартфоны других марок и с другой операционной системой.
