Pojavilo se više detalja o implantu špijunskog softvera koji je isporučen na iOS uređaje u sklopu kampanje pod nazivom Operation Triangulation.
Kaspersky, koji je otkrio operaciju nakon što je postao jedna od meta početkom godine, rekao je da malware ima životni vijek od 30 dana, nakon čega se automatski deinstalira osim ako napadači ne produže vremenski period.
Ruska kompanija za kibernetičku bezbjednost dala je kodno ime za backdoor TriangleDB.
“Implant se postavlja nakon što napadači dobiju root privilegije na ciljnom iOS uređaju iskorištavanjem ranjivosti kernela” rekli su Kaspersky istraživači u novom izvještaju objavljenom danas.
“Razmješta se u memoriju, što znači da se svi tragovi implantata gube kada se uređaj ponovo pokrene. Stoga, ako žrtva ponovo pokrene svoj uređaj, napadači ga moraju ponovo zaraziti slanjem iMessage-a sa malicioznim prilogom i tako pokrenuti ponovo cijeli lanac eksploatacije.”
Operacija Triangulation podrazumijeva korištenje eksploatacije bez klika preko iMessage platforme, čime se omogućava špijunskom softveru da kompletira kontrolu nad uređajem i korisničkim podacima.
„Napad se izvodi pomoću nevidljivog iMessage-a sa malicioznim prilogom, koji se, koristeći brojne ranjivosti u iOS operativnom sistemu, izvršava na uređaju i instalira špijunski softver“ rekao je ranije ovog mjeseca Eugene Kaspersky, izvršni direktor Kaspersky-og.
“Postavljanje špijunskog softvera je potpuno skriveno i ne zahtijeva nikakvu radnju od korisnika.”
TriangleDB, napisan u Objective-C, čini srž skrivenog okvira. Dizajniran je za uspostavljanje šifrovanih veza sa serverom za komandu i kontrolu (C2) i povremeno slanje beacona koji sadrži metapodatke uređaja.
Server, sa svoje strane, odgovara na poruke srca sa jednom od 24 komande koje omogućavaju da se izbace iCloud Keychain podaci i učitaju dodatni Mach-O moduli u memoriju za prikupljanje osetljivih podataka.
Ovo uključuje sadržaj datoteka, geolokaciju, instalirane iOS aplikacije i pokrenute procese, između ostalog. Lanci napada kulminiraju brisanjem početne poruke kako bi se prikrili tragovi.
Pažljivije ispitivanje izvornog koda otkrilo je neke neobične aspekte u kojima autori malicizonog softvera dešifrovanje nizova nazivaju “neometanjem” i dodjeljuju imena iz terminologije baze podataka datotekama (zapisu), procesima (šema), C2 serveru (DB server) i geolokaciji informacije (DB Status).
Još jedan značajan aspekt je prisustvo rutine “populateWithFieldsMacOSOnly”. Iako se ova metoda nigdje ne naziva u iOS implantatu, konvencija o imenovanju otvara mogućnost da bi TriangleDB takođe mogao biti naoružan za ciljanje macOS uređaja.
„Implantat traži višestruka prava (dozvole) od operativnog sistema“ rekli su istraživači kompanije Kaspersky.
“Neke od njih se ne koriste u kodu, kao što je pristup kameri, mikrofonu i adresaru, ili interakcija sa uređajima putem Bluetooth-a. Dakle, funkcionalnosti koje su date ovim pravima mogu biti implementirane u modulima.”
Trenutno nije poznato ko stoji iza kampanje i koji su njeni krajnji ciljevi. Apple je, u prethodnoj izjavi koju je podijelio s The Hacker News, rekao da “nikada nije radio ni sa jednom vladom da ubaci backdoor u bilo koji Apple-ov proizvod i nikada neće”.
Ruska vlada je, međutim, uprla prstom u SAD, optužujući ih da su provalili u “nekoliko hiljada” Apple uređaja koji pripadaju domaćim pretplatnicima i stranim diplomatama u sklopu, kako je tvrdila, izviđačke operacije.
Izvor: The Hacker News