Operacija „Trianguliacija“ taikoma „iOS“ įrenginiams su naujomis kenkėjiškomis programomis

Stebėdami mobiliesiems įrenginiams skirto įmonės „Wi-Fi“ tinklo srautą, „Securelist“ tyrėjai aptiko įtartiną veiklą, kilusią iš kelių „iOS“ pagrįstų telefonų. Dėl būdingų apribojimų, susijusių su šiuolaikinių „iOS“ įrenginių tikrinimu viduje, mokslininkai nusprendė sukurti atitinkamų įrenginių atsargines kopijas neprisijungus ir išanalizavo jas naudodami „Mobile Verification Toolkit“ įrankį „mvt-ios“. Atlikdami šią analizę, jie atskleidė kompromiso įrodymų, dėl kurių buvo nustatyta kampanija, vadinama „Operacija Trianguliacija“.

Ištyrę mobiliųjų įrenginių atsargines kopijas, apimančias dalinę failų sistemos kopiją, įskaitant vartotojų duomenis ir paslaugų duomenų bazes, tyrėjai galėjo panaudoti failų ir aplankų laiko žymes, taip pat duomenų bazės įrašus, kad atkurtų apytikslę įvykių laiko juostą pažeistoje vietoje. prietaisai. „mvt-ios“ programa palengvino surūšiuoto laiko juostos failo, vadinamo „timeline.csv“, kūrimą, panašų į tradiciniuose skaitmeniniuose teismo ekspertizės įrankiuose naudojamas superlaiko juostas.

Naudodami šią laiko juostą, mokslininkai sėkmingai nustatė konkrečius artefaktus, rodančius kompromisą. Šis atradimas pastūmėjo jų tyrimus į priekį, leisdamas jiems apibūdinti bendrą infekcijos seką:

• Tikslinis „iOS“ įrenginys gauna „iMessage“, kuriame yra išnaudojimo priedas.
• Pranešimas suaktyvina įrenginio pažeidžiamumą, dėl kurio kodas vykdomas be jokios vartotojo sąveikos.
• Išnaudojimo metu iš komandų ir valdymo (C&C) serverio atsisiunčiami keli tolesni etapai, įskaitant privilegijų padidinimo išnaudojimus.
• Po sėkmingo išnaudojimo iš C&C serverio atsisiunčiama visapusiška pažangiosios nuolatinės grėsmės (APT) platforma, kuri yra paskutinė naudingoji apkrova.
• Pradinis pranešimas ir išnaudojimo priedas ištrinami, kad padengtų takelius.

Dėl operacinės sistemos apribojimų kenkėjiškam įrankių rinkiniui trūksta patvarumo. Todėl kelių įrenginių laiko juostos rodo, kad po paleidimo iš naujo galima užsikrėsti. Ankstyviausi nustatyti infekcijos pėdsakai datuojami 2019 m. Nuo 2023 m. birželio mėn. ataka tebevyksta, nukreipta į įrenginius, kuriuose veikia iOS 15.7 – naujausia versija rašymo metu.
Galutinės naudingosios apkrovos analizė vis dar vyksta. Veikdamas su root teisėmis, kodas įgyvendina daugybę komandų sistemos ir vartotojo informacijai rinkti ir gali vykdyti savavališką kodą, gautą kaip papildinio modulius iš C&C serverio.

Labai svarbu pažymėti, kad nepaisant kenkėjiškų programų, kuriose yra tam tikrų kodo segmentų, skirtų pašalinti pažeidimo pėdsakus, vis tiek galima patikimai nustatyti, ar įrenginys buvo pažeistas. Be to, jei naujas įrenginys nustatomas perkeliant vartotojo duomenis iš senesnio įrenginio, abiejų įrenginių iTunes atsarginėje kopijoje bus kompromisų pėdsakų su tiksliomis laiko žymomis.

Kodėl „iOS Phone“ kenkėjišką programą sunku išskaidyti?

Paprastai manoma, kad „iOS“ telefonų kenkėjiškas programas sunkiau atskirti, palyginti su kenkėjiškomis programomis, nukreiptomis į kitas operacines sistemas, pvz., „Android“. Tam yra keletas priežasčių:

Uždara ekosistema: „iOS“ yra uždara ekosistema, o tai reiškia, kad „Apple“ griežtai kontroliuoja aparatinės įrangos, programinės įrangos ir programų platinimą savo įrenginiuose. Dėl tokio uždarumo kenkėjiškoms programoms sunkiau įsitvirtinti ir išplisti sistemoje.

„App Store“ peržiūros procesas: „App Store“ taiko griežtą peržiūros procesą, kai kiekviena programa yra patikrinama prieš pateikiant ją atsisiųsti. Šis procesas padeda užkirsti kelią kenkėjiškų programų platinimui. Nors tai visiškai nepanaikina kenkėjiškų programų praslydimo galimybės, tai suteikia papildomą apsaugos lygį.

Smėlio dėžė: iOS programos yra smėlio dėžės, o tai reiškia, kad jos veikia savo ribotoje aplinkoje ir turi ribotą prieigą prie pagrindinių sistemos išteklių ir duomenų. Ši izoliacija neleidžia kenkėjiškoms programoms lengvai plisti įvairiose sistemos dalyse.

Kodo pasirašymas ir šifravimas: „iOS“ programos turi būti pasirašytos „Apple“ išduotu kūrėjo sertifikatu. Šis kodo pasirašymas užtikrina, kad tik įgalioti kūrėjai gali kurti ir platinti programas. Be to, iOS naudoja stiprias šifravimo priemones, todėl sunku analizuoti ir sugadinti programos kodą.

Ribotos vartotojo privilegijos: iOS riboja vartotojo teises, neleidžiant programoms pasiekti jautrių įrenginio sričių be aiškaus vartotojo leidimo. Šis apribojimas sumažina galimą kenkėjiškų programų poveikį.

Nors iOS siūlo keletą saugos funkcijų, svarbu pažymėti, kad nė viena sistema nėra visiškai apsaugota nuo kenkėjiškų programų. Buvo „iOS“ kenkėjiškų programų atvejų, tačiau dėl anksčiau paminėtų veiksnių ji yra mažiau paplitusi, palyginti su kitomis platformomis. Tačiau technologijoms tobulėjant kenkėjiškų programų kūrėjai nuolat prisitaiko ir randa naujų būdų, kaip išnaudoti pažeidžiamumą, todėl reikia nuolatinių saugumo priemonių ir budrumo.