Nie aktualizujesz telefonu? Popełniasz wielki błąd
Niezaktualizowany Apple iOS – co mogło pójść nie tak? Firma Kaspersky twierdzi, że doszło do prób włamania do ich systemu informatycznego. Zainfekowanych zostało kilkadziesiąt urządzeń pracowników z powodu niezaktualizowanego iOS 15.7.
Analiza śledcza wykazała, że pierwsze próby ataku miały miejsce jeszcze w roku 2019 (wcześniejsze wersje iOS). Atak został przeprowadzony znanym, ale zaawansowanym schematem: wiadomość tekstowa w iMessage zawierała URL do pliku. I to wszystko.
To wystarczyło, aby wykonać tzw. atak zero-click. Bez interakcji z użytkownikiem smartfonu. Podatność w iMessage nie wymagała dalszych czynności po stronie ofiary – dochodziło do cichego zainfekowania urządzenia.
Atak wykryto dzięki rozwiązaniu "Kaspersky Unified Monitoring and Analysis Platform", w skrócie "KUMA". Jest to produkt klasy SIEM do zarządzania informacjami i zdarzeniami z sieci. Kaspersky jasno podaje, że jest to "niezwykle zaawansowane technologicznie oprogramowanie szpiegujące". Nazwano je "Triangulation".
Dalsza część artykułu pod materiałem wideo
Eksperci przygotowali szczegółową analizę tego ataku. Z uwagi na zamknięty ekosystem Apple i liczne jego zabezpieczenia nie jest możliwe skanowanie ruchu sieciowego bezpośrednio na urządzeniu. Dlatego wykonano zrzut pamięci offline zainfekowanych urządzeń i przeprowadzono analizę.
Do śledztwa wykorzystano znane oprogramowanie Wireshark do analizy sieciowej oraz "mvt-ios": tworzy ono kopię systemu plików i niektóre dane użytkowania. Zdarzenia są posortowane według czasu, co pozwoliło na prześledzenie konkretnych artefaktów, które wskazywały na podejrzaną aktywność.
Jak dochodziło do infekcji?
- Ofiara w iOS otrzymuje wiadomość z załącznikiem w iMessage. Bez jakiejkolwiek interakcji ze strony użytkownika, wiadomość wykorzystuje lukę, która prowadzi do wykonania kodu.
- Złośliwy kod pobiera kilka kolejnych plików z serwera przestępców – exploity do eskalacji uprawnień.
- Pobierany jest docelowy ładunek. Kaspersky twierdzi, że za atakiem stoi zaawansowana grupa przestępcza.
- Na końcu szkodliwe oprogramowanie usuwa początkową wiadomość z iMessage.
Najstarsze wykryte ślady infekcji miały miejsce w 2019 roku. Urządzenia, które skutecznie infekowano zawierały iOS 15.7. Można przypuszczać, że atak dotyczy także starszych systemów. iOS 15.7 został wydany we wrześniu 2022 roku.
Firma Kaspersky podaje adresy sieciowe używane w tym cyberataku, dlatego zespoły IT powinny przeskanować całą sieć pod kątem następujących adresów:
addatamarket[.]net
backuprabbit[.]com
businessvideonews[.]com
cloudsponcer[.]com
datamarketplace[.]net
mobilegamerstats[.]com
snoweeanalytics[.]com
tagclick-cdn[.]com
topographyupdates[.]com
unlimitedteacup[.]com
virtuallaughing[.]com
web-trackers[.]com
growthtransport[.]com
anstv[.]net
ans7tv[.]netSzczegóły techniczne są podane na tej stronie.
Oprogramowanie szpiegujące potrafi zbierać nagrania z mikrofonu, kraść zdjęcia z komunikatorów internetowych, pobierać geolokalizację oraz inne dane dotyczące właściciela zainfekowanego urządzenia.
Jesteśmy przekonani, że Kaspersky nie był głównym celem tego cyberataku.
Uważamy, że głównym powodem tego incydentu jest zastrzeżony charakter systemu iOS. Ten system operacyjny jest „czarną skrzynką”, w której oprogramowanie szpiegujące, takie jak Triangulation, może ukrywać się przez lata.
Wykrywanie i analizowanie takich zagrożeń jest utrudnione przez monopol firmy Apple na narzędzia badawcze, co czyni ją idealną przystanią dla programów szpiegujących. Innymi słowy, użytkownicy mają złudzenie bezpieczeństwa związane z całkowitą nieprzejrzystością systemu. To, co faktycznie dzieje się w iOS, jest nieznane ekspertom ds. cyberbezpieczeństwa. Brak wiadomości o atakach wcale nie wskazuje na niemożność samych ataków – co właśnie widzieliśmy.
Eugene KasperskySzef i założyciel firmy KasperskyKaspersky udostępnił narzędzie, które częściowo zautomatyzuje przeszukiwania artefaktów na urządzeniach, jeżeli były kiedykolwiek zainfekowane złośliwym oprogramowaniem z kampanii Triangulation. Narzędzie triangle_check dostępne jest na github dla Windows, MacOS, Linux i potrafi przeskanować kopię zapasową smartfonu.
Tutaj Kaspersky wyjaśnia, jak używać tego oprogramowania dla iPhone. Sprowadza się to głównie do wykonania kopii zapasowej poprzez iTunes na wspieranym systemie operacyjnym. Po przeprowadzeniu skanowania narzędzie pokaże 3 możliwe wyniki:
- DETECTED – kiedy zostaną znalezione wskaźniki kompromitacji urządzenia.
- SUSPICION – jeżeli niektóre dane będą przypominały prawdopodobną infekcję.
- No traces of compromise were identified – w przypadku, kiedy urządzenie nie zostało dotknięte przez Triangulation.
Współpraca Kaspersky oraz Apple przyniosła pozytywny rezultat w postaci aktualizacji do iOS 16.5.1 oraz iPadOS 16.5.1.
Apple potwierdziło istnienie exploita i możliwość wykorzystania luki zgłoszonej przez ekspertów Kaspersky z kampanii Triangulation. Aktualizacje dla urządzeń Apple wydano 21 czerwca 2023 r. Zaleca się zainstalowanie poprawek, aby uniemożliwić uruchomienie kodu z uprawnieniami systemowymi.
Adrian Ścibor, dziennikarz avlab.pl
