Операция Triangulation нацелена на устройства iOS с новым вредоносным ПО

Отслеживая сетевой трафик своей выделенной корпоративной сети Wi-Fi для мобильных устройств, исследователи из Securelist обнаружили подозрительную активность, исходящую от нескольких телефонов на базе iOS. Из-за ограничений, присущих внутренней проверке современных устройств iOS, исследователи решили создать автономные резервные копии рассматриваемых устройств и проанализировали их с помощью инструмента mvt-ios из Mobile Verification Toolkit. Благодаря этому анализу они обнаружили доказательства компрометации, что привело к выявлению кампании, получившей название «Операция Триангуляция».

Изучив резервные копии мобильных устройств, которые содержат частичную копию файловой системы, включая пользовательские данные и служебные базы данных, исследователи смогли использовать временные метки файлов и папок, а также записи базы данных, чтобы восстановить приблизительную хронологию событий на скомпрометированном устройстве. устройства. Утилита mvt-ios упростила создание отсортированного файла временной шкалы под названием «timeline.csv», похожего на супервременные шкалы, используемые в традиционных инструментах цифровой криминалистики.

Используя эту временную шкалу, исследователи успешно выявили конкретные артефакты, указывающие на компрометацию. Это открытие продвинуло их исследования вперед, позволив им наметить общую последовательность заражения следующим образом:

• Целевое устройство iOS получает iMessage, содержащее вложение с эксплойтом.
• Сообщение запускает уязвимость в устройстве, что приводит к выполнению кода без какого-либо взаимодействия с пользователем.
• Эксплойт продолжает загружать несколько последующих этапов с сервера управления и контроля (C&C), включая эксплойты для повышения привилегий.
• После успешной эксплуатации с C&C-сервера загружается полнофункциональная платформа расширенных постоянных угроз (APT), служащая окончательной полезной нагрузкой.
• Исходное сообщение и вложение эксплойта удаляются, чтобы замести следы.

Из-за ограничений операционной системы вредоносному набору инструментов не хватает устойчивости. Следовательно, временные рамки нескольких устройств предполагают возможность повторного заражения после перезагрузки. Самые ранние обнаруженные следы заражения относятся к 2019 году. По состоянию на июнь 2023 года атака продолжается и нацелена на устройства под управлением iOS 15.7, последней версии на момент написания.
Анализ окончательной полезной нагрузки все еще продолжается. Запущенный с привилегиями root, этот код реализует ряд команд для сбора системной и пользовательской информации и может выполнять произвольный код, полученный в виде подключаемых модулей с C&C-сервера.

Важно отметить, что, несмотря на то, что вредоносное ПО включает в себя определенные сегменты кода, предназначенные для стирания следов компрометации, по-прежнему можно надежно определить, было ли устройство взломано. Кроме того, если новое устройство настроено путем переноса пользовательских данных со старого устройства, резервная копия обоих устройств в iTunes будет содержать следы компрометации с точными временными метками.

Почему вредоносное ПО для телефонов iOS трудно проанализировать?

Вредоносное ПО для телефонов iOS обычно считается более сложным для анализа по сравнению с вредоносными программами, нацеленными на другие операционные системы, такие как Android. На это есть несколько причин:

Закрытая экосистема: iOS — это закрытая экосистема, что означает, что Apple жестко контролирует аппаратное обеспечение, программное обеспечение и распространение приложений на своих устройствах. Этот закрытый характер затрудняет проникновение вредоносного ПО в систему и его распространение.

Процесс проверки в App Store. В App Store существует строгий процесс проверки, при котором каждое приложение проверяется перед тем, как оно становится доступным для загрузки. Этот процесс помогает предотвратить широкое распространение вредоносных приложений. Хотя это не полностью исключает возможность проникновения вредоносного ПО, оно обеспечивает дополнительный уровень защиты.

Песочница: приложения iOS изолированы, что означает, что они работают в своей собственной ограниченной среде и имеют ограниченный доступ к базовым системным ресурсам и данным. Эта изоляция предотвращает легкое распространение вредоносных программ по различным частям системы.

Подписание кода и шифрование: приложения iOS должны быть подписаны сертификатом разработчика, выданным Apple. Эта подпись кода гарантирует, что только авторизованные разработчики могут создавать и распространять приложения. Кроме того, iOS использует надежные меры шифрования, что затрудняет анализ и изменение кода приложения.

Ограниченные привилегии пользователей: iOS ограничивает привилегии пользователей, не позволяя приложениям получать доступ к конфиденциальным областям устройства без явного разрешения пользователя. Это ограничение снижает потенциальное воздействие вредоносных программ.

Хотя iOS предлагает несколько функций безопасности, важно отметить, что ни одна система не застрахована от вредоносных программ. Были случаи вредоносного ПО для iOS, но из-за упомянутых выше факторов оно, как правило, менее распространено по сравнению с другими платформами. Однако по мере развития технологий создатели вредоносных программ постоянно адаптируются и находят новые способы использования уязвимостей, что требует постоянных мер безопасности и бдительности.