Η λειτουργία Triangulation στοχεύει συσκευές iOS με νέο κακόβουλο λογισμικό

Κατά την παρακολούθηση της κυκλοφορίας δικτύου του αποκλειστικού εταιρικού δικτύου Wi-Fi για κινητές συσκευές, οι ερευνητές της Securelist εντόπισαν ύποπτη δραστηριότητα που προέρχεται από πολλά τηλέφωνα που βασίζονται σε iOS. Λόγω των εγγενών περιορισμών της εσωτερικής επιθεώρησης σύγχρονων συσκευών iOS, οι ερευνητές επέλεξαν να δημιουργήσουν αντίγραφα ασφαλείας εκτός σύνδεσης των εν λόγω συσκευών και τα ανέλυσαν χρησιμοποιώντας το εργαλείο mvt-ios του Mobile Verification Toolkit. Μέσω αυτής της ανάλυσης, αποκάλυψαν στοιχεία συμβιβασμού, που οδήγησαν στον εντοπισμό μιας εκστρατείας που αναφέρεται ως «Επιχείρηση Τριγωνοποίηση».

Εξετάζοντας τα αντίγραφα ασφαλείας των φορητών συσκευών, τα οποία περιλαμβάνουν ένα μερικό αντίγραφο του συστήματος αρχείων, συμπεριλαμβανομένων των δεδομένων χρήστη και των βάσεων δεδομένων υπηρεσιών, οι ερευνητές μπόρεσαν να χρησιμοποιήσουν χρονικές σημάνσεις αρχείων και φακέλων, καθώς και εγγραφές βάσης δεδομένων, για να ανασυνθέσουν ένα πρόχειρο χρονοδιάγραμμα συμβάντων στο παραβιασμένο συσκευές. Το βοηθητικό πρόγραμμα mvt-ios διευκόλυνε τη δημιουργία ενός ταξινομημένου αρχείου χρονοδιαγράμματος που ονομάζεται "timeline.csv", παρόμοιο με τις υπερχρονικές γραμμές που χρησιμοποιούνται στα παραδοσιακά ψηφιακά εγκληματολογικά εργαλεία.

Αξιοποιώντας αυτό το χρονοδιάγραμμα, οι ερευνητές εντόπισαν με επιτυχία συγκεκριμένα τεχνουργήματα που έδειχναν τον συμβιβασμό. Αυτή η ανακάλυψη ώθησε την έρευνά τους προς τα εμπρός, επιτρέποντάς τους να περιγράψουν τη γενική αλληλουχία της μόλυνσης ως εξής:

• Η στοχευμένη συσκευή iOS λαμβάνει ένα iMessage που περιέχει ένα συνημμένο με εκμετάλλευση.
• Το μήνυμα ενεργοποιεί μια ευπάθεια στη συσκευή, που οδηγεί σε εκτέλεση κώδικα χωρίς καμία αλληλεπίδραση με τον χρήστη.
• Το exploit προχωρά στη λήψη πολλών επόμενων σταδίων από τον διακομιστή εντολών και ελέγχου (C&C), συμπεριλαμβανομένων των εκμεταλλεύσεων κλιμάκωσης προνομίων.
• Μετά την επιτυχή εκμετάλλευση, μια πλήρως εξοπλισμένη πλατφόρμα προηγμένης επίμονης απειλής (APT), που χρησιμεύει ως το τελικό ωφέλιμο φορτίο, γίνεται λήψη από τον διακομιστή C&C.
• Το αρχικό μήνυμα και το συνημμένο exploit διαγράφονται για να καλύψουν κομμάτια.

Λόγω περιορισμών του λειτουργικού συστήματος, το κακόβουλο σύνολο εργαλείων στερείται επιμονής. Κατά συνέπεια, τα χρονοδιαγράμματα πολλών συσκευών προτείνουν τη δυνατότητα επαναμόλυνσης μετά την επανεκκίνηση. Τα πρώτα ίχνη μόλυνσης που εντοπίστηκαν χρονολογούνται από το 2019. Από τον Ιούνιο του 2023, η επίθεση παραμένει σε εξέλιξη, στοχεύοντας συσκευές που εκτελούν iOS 15.7, την πιο πρόσφατη έκδοση κατά τη στιγμή της σύνταξης.
Η ανάλυση του τελικού ωφέλιμου φορτίου είναι ακόμη σε εξέλιξη. Εκτελώντας με δικαιώματα root, ο κώδικας υλοποιεί μια σειρά από εντολές για τη συλλογή πληροφοριών συστήματος και χρήστη και μπορεί να εκτελέσει αυθαίρετο κώδικα που λαμβάνεται ως λειτουργικές μονάδες πρόσθετων από τον διακομιστή C&C.

Είναι σημαντικό να σημειωθεί ότι παρά το κακόβουλο λογισμικό που ενσωματώνει συγκεκριμένα τμήματα κώδικα αφιερωμένα στη διαγραφή ιχνών παραβίασης, είναι ακόμα δυνατό να προσδιοριστεί με αξιοπιστία εάν μια συσκευή έχει παραβιαστεί. Επιπλέον, εάν ρυθμιστεί μια νέα συσκευή με μετεγκατάσταση δεδομένων χρήστη από μια παλαιότερη συσκευή, το αντίγραφο ασφαλείας του iTunes και των δύο συσκευών θα περιέχει ίχνη συμβιβασμού με ακριβείς χρονικές σημάνσεις.

Γιατί είναι δύσκολο να αναλυθεί το κακόβουλο λογισμικό τηλεφώνων iOS;

Το κακόβουλο λογισμικό τηλεφώνων iOS γενικά θεωρείται πιο δύσκολο να αναλυθεί σε σύγκριση με το κακόβουλο λογισμικό που στοχεύει άλλα λειτουργικά συστήματα, όπως το Android. Υπάρχουν διάφοροι λόγοι για αυτό:

Κλειστό Οικοσύστημα: Το iOS είναι ένα κλειστό οικοσύστημα, που σημαίνει ότι η Apple ελέγχει αυστηρά το υλικό, το λογισμικό και τη διανομή εφαρμογών στις συσκευές της. Αυτή η κλειστή φύση καθιστά πιο δύσκολο για το κακόβουλο λογισμικό να αποκτήσει έδαφος και να εξαπλωθεί εντός του συστήματος.

Διαδικασία αναθεώρησης του App Store: Το App Store έχει μια αυστηρή διαδικασία ελέγχου όπου κάθε εφαρμογή ελέγχεται πριν γίνει διαθέσιμη για λήψη. Αυτή η διαδικασία βοηθά στην αποτροπή της ευρείας διανομής κακόβουλων εφαρμογών. Αν και αυτό δεν εξαλείφει εντελώς την πιθανότητα διολίσθησης κακόβουλου λογισμικού, παρέχει ένα επιπλέον επίπεδο προστασίας.

Sandboxing: Οι εφαρμογές iOS είναι sandbox, πράγμα που σημαίνει ότι λειτουργούν στο δικό τους περιορισμένο περιβάλλον και έχουν περιορισμένη πρόσβαση στους υποκείμενους πόρους και δεδομένα του συστήματος. Αυτή η απομόνωση εμποδίζει το κακόβουλο λογισμικό να εξαπλωθεί εύκολα σε διάφορα μέρη του συστήματος.

Υπογραφή κώδικα και κρυπτογράφηση: Οι εφαρμογές iOS πρέπει να υπογράφονται από πιστοποιητικό προγραμματιστή που εκδίδεται από την Apple. Αυτή η υπογραφή κώδικα διασφαλίζει ότι μόνο εξουσιοδοτημένοι προγραμματιστές μπορούν να δημιουργούν και να διανέμουν εφαρμογές. Επιπλέον, το iOS χρησιμοποιεί ισχυρά μέτρα κρυπτογράφησης, καθιστώντας δύσκολη την ανάλυση και την παραβίαση του κώδικα της εφαρμογής.

Περιορισμένα δικαιώματα χρήστη: Το iOS περιορίζει τα δικαιώματα χρήστη, εμποδίζοντας τις εφαρμογές να έχουν πρόσβαση σε ευαίσθητες περιοχές της συσκευής χωρίς ρητή άδεια χρήστη. Αυτός ο περιορισμός μειώνει τον πιθανό αντίκτυπο του κακόβουλου λογισμικού.

Ενώ το iOS προσφέρει πολλές δυνατότητες ασφαλείας, είναι σημαντικό να σημειωθεί ότι κανένα σύστημα δεν είναι εντελώς ανοσιακό σε κακόβουλο λογισμικό. Υπήρξαν περιπτώσεις κακόβουλου λογισμικού iOS, αλλά λόγω των παραγόντων που αναφέρθηκαν παραπάνω, τείνει να είναι λιγότερο διαδεδομένο σε σύγκριση με άλλες πλατφόρμες. Ωστόσο, καθώς η τεχνολογία προχωρά, οι δημιουργοί κακόβουλου λογισμικού προσαρμόζονται συνεχώς και βρίσκουν νέους τρόπους για να εκμεταλλεύονται τα τρωτά σημεία, απαιτώντας συνεχή μέτρα ασφαλείας και επαγρύπνηση.