Федеральная служба безопасности России заявила, что за атаками с использованием уязвимостей в операционной системе iOS, в результате которых в России были скомпрометированы тысячи устройств iPhone, в том числе и устройства иностранных дипломатов, стоят спецслужбы США. «Лаборатория Касперского» со своей стороны сообщает, что атаке подверглись несколько десятков высокопоставленных сотрудников и членов высшего руководства компании. Однако, в производителе средств компьютерной безопасности не стали приписывать атаку какому-то конкретному государству.
Согласно проведенному «Лабораторией» анализу зараженных устройств, операция продолжается как минимум с 2019 года. Сначала жертвы получают через приложение iMessage невидимое сообщение с присоединенным файлом, который инициирует цепочку эксплойтов, после чего удаляет себя.
«Развертывание шпионских программ полностью скрыто и происходит без какого-либо участия со стороны пользователя, – сообщил в своем блоге основатель и генеральный директор компании Евгений Касперский. – Шпионская программа незаметно передает на удаленные серверы конфиденциальную информацию: записи с микрофона, фотографии из мессенджеров, данные геолокации и информацию о ряде других действий, выполнявшихся владельцем зараженного устройства».
В «Лаборатории Касперского» процесс слежки получил название «Операции Триангуляции».
Расследование продолжается, пока же исследователям удалось выяснить, что вредоносное вложение iMessage при поступлении на устройство воздействует на уязвимость, инициируя удаленное выполнение кода. Эксплойт затрагивает устройства, работающие под управлением последней версии iOS 15.7. После активизации вредоносной программы установка обновлений операционной системы блокируется.
Проникнув в систему, вредоносный код загружает с сервера управления дополнительные файлы, в том числе эксплойты повышения привилегий, предоставляющие атакующим права администратора root.
!Анализ вредоносной платформы продолжается, – говорится в техническом отчете исследователей. – Уже известно, что она выполняется с привилегиями суперпользователя, реализует набор команд для сбора информации о пользователе и системе, а также позволяет исполнять произвольный код в виде плагинов, переданных с сервера управления".
После перезагрузки вредоносная программа удаляется с устройства (вероятно, из-за ограничений iOS), но, учитывая простоту эксплойта, который не требует взаимодействия с пользователем, это не является большим препятствием для злоумышленников, поскольку они легко могут заразить устройства повторно. Кроме того, мобильные устройства перезагружаются не слишком часто.
Признаки заражения iPhone
Провести криминалистический анализ в реальном времени в среде iOS не так просто, поскольку система заблокирована и не позволяет использовать инструменты безопасности. С учетом этого исследователям пришлось прибегнуть к автономному анализу резервных копий файловой системы, созданных с помощью iTunes. Резервные копии хранятся в зашифрованном виде и перед анализом должны быть расшифрованы с помощью специального инструмента с открытым кодом, формирующего нужный отчет.
Признаком компрометации устройства являются упоминания о сообщениях Datausage в процессе BackupAgent, которым предшествуют аналогичные сообщения процесса IMTransferAgent. Двоичного файла BackupAgent в современных версиях iOS быть не должно, поскольку он устарел и заменен двоичным файлом BackupAgent2.
Другими индикаторами являются изменения в одном или нескольких файлах: com.apple.ImageIO.plist, com.apple.locationd.StatusBarIconManager.plist, com.apple.imservice.ids.FaceTime.plist, а также информация об использовании сервисов com.apple.WebKit.WebContent, powerd/com.apple.datausage.diagnostics и lockdownd/com.apple.datausage.security.
К менее надежным признакам относится изменение каталога вложений SMS (но не имен присоединенных файлов) в сочетании с использованием данных com.apple.Веб-набор.WebContent и модификацией com.apple.locationd.StatusBarIconManager.plist в течение короткого промежутка времени.
Компания опубликовала список управляющих доменов, к которым происходило подключение и с которых загружался программный код. Конечно, в будущем все может измениться, но сетевые журналы DNS можно проверять на наличие любых признаков прошлых компрометаций. Кроме того, «Лаборатория Касперского» разработала утилиту на Python, которая обращается к автономной резервной копии iPhone и обнаруживает наличие признаков компрометации из числа ранее перечисленных.
ФСБ обвиняет США и Apple
В заявлении, направленном через cert.gov.ru, ФСБ утверждает, что разведывательная операция – это работа американских спецслужб, действующих во взаимодействии с Apple, а соответствующие уязвимости были получены непосредственно от производителя программного обеспечения.
В ФСБ считают, что целями кампании были тысячи пользователей iPhone в России, а также устройства, использующие иностранные SIM-карты и зарегистрированные в России в дипломатических представительствах Китая, Израиля, Сирии, а также стран НАТО и постсоветского блока.
В «Лаборатории Касперского» не стали комментировать происхождение атаки и источник эксплойтов, но Касперский раскритиковал закрытость операционной системы Apple, которая, по его мнению, мешает проведению исследований в области безопасности. «Основной причиной этого инцидента является проприетарный характер iOS, – подчеркнул он. – Эта операционная система представляет собой 'черный ящик', в котором шпионские программы наподобие Triangulation могут скрываться годами. Обнаружение и анализ таких угроз еще более затруднены вследствие монополии Apple на исследовательские инструменты, что делает iOS идеальным убежищем для шпионских программ. Я часто повторяю, что у пользователей создается иллюзия безопасности, обусловленная полной непрозрачностью системы. Что происходит в iOS на самом деле, специалистам по кибербезопасности неизвестно, а отсутствие новостей об атаках никоим образом не указывает на их невозможность, в чем мы только что и убедились».