Odkryto niezidentyfikowane wcześniej oprogramowanie (zero-day), atakujące urządzenia z systemem iOS. Nie wymaga ono przy tym choćby jednego kliknięcia ze strony użytkownika.
W poprzednim artykule (w piątek) pisaliśmy o dostępnym oprogramowaniu typu spyware na urządzenia Android. Ten tydzień rozpoczniemy od ciekawego znaleziska dotyczącego bezpieczeństwa iPhone’ów.
Kaspersky ze zhakowanymi iPhone’ami
Odkrycia dokonała firma Kaspersky na własnym sprzęcie:
„Podczas monitorowania ruchu sieciowego w naszej własnej korporacyjnej sieci Wi-Fi przeznaczonej dla urządzeń mobilnych za pomocą Kaspersky Unified Monitoring and Analysis Platform (KUMA) zauważyliśmy podejrzaną aktywność pochodzącą z kilku telefonów z systemem iOS. Ponieważ niemożliwe jest sprawdzenie nowoczesnych urządzeń z systemem iOS od wewnątrz, utworzyliśmy kopie zapasowe tych urządzeń w trybie offline, sprawdziliśmy je za pomocą mvt-ios pakietu Mobile Verification Toolkit i wykryliśmy ślady włamań”– napisała firma.
Tego samego dnia, w którym Kaspersky opublikował raport, rosyjska służba wywiadowcza FSB wysunęła wariackie oskarżenia o hakowanie tysięcy Rosjan przez NSA i Apple.
Czego dowiedziano się z analizy kodu?
Po analizie kopii bezpieczeństwa w narzędziu mvt-ios badacze byli w stanie utworzyć posortowaną oś czasu zdarzeń w pliku o nazwie „timeline.csv”, podobnej do osi czasu używanej przez konwencjonalne cyfrowe narzędzia kryminalistyczne. Korzystając z niej, zidentyfikowali konkretne artefakty, które wskazują na kompromitację (zhakowanie) urządzenia.
Rekonstrukcja ataku na podstawie zbadanych artefaktów wygląda następująco:
- Na telefon ofiary wysyłana jest wiadomość za pomocą iMessage.
- Wiadomość zawiera załącznik, który bez żadnej interakcji ofiary powoduje wstępną infekcję urządzania.
- Zainfekowany kod urządzenia pobiera dodatkowy kod zewnętrznego serwera C2 (w szczególności kod odpowiedzialny za podniesienie uprawnień).
- Wiadomość z exploitem jest kasowana z urządzenia w celu zatarcia śladów.
Co ważne, atak nie zawsze przeżywa restart telefonu i nie uzyskuje trwałości na urządzeniu.
„Złośliwy zestaw narzędzi nie obsługuje trwałości, najprawdopodobniej ze względu na ograniczenia systemu operacyjnego. Osie czasowe wielu urządzeń wskazują, że mogą one zostać zainfekowane kolejny raz po ponownym uruchomieniu”.
Kaspersky wspomina, że najstarsze wykryte ślady infekcji pochodziły z 2019 roku. Badanie zaczęto opisywać w czerwcu i uważa się, że atak nadal trwa (dotyczy także najnowszej wersji iOS 15.7).
Badacze twierdzą, że analiza końcowego ładunku jeszcze się nie zakończyła. Kod jest uruchamiany z uprawnieniami roota, implementuje zestaw poleceń do zbierania informacji o systemie i użytkowniku oraz może uruchamiać dowolny kod pobrany jako moduły wtyczek z serwera C&C.
W tym miejscu możecie zobaczyć, jak wygląda cały proces analizy ataku.
Jak sprawdzić, czy Twoje urządzenie jest zhakowane opisywanym exploitem?
Kaspersky udostępnił listę domen, z którymi łączą się iPhone’y w celu pobrania kodu exploita:
- addatamarket[.]net
- backuprabbit[.]com
- businessvideonews[.]com
- cloudsponcer[.]com
- datamarketplace[.]net
- mobilegamerstats[.]com
- snoweeanalytics[.]com
- tagclick-cdn[.]com
- topographyupdates[.]com
- unlimitedteacup[.]com
- virtuallaughing[.]com
- web-trackers[.]com
- growthtransport[.]com
- anstv[.]net
- ans7tv[.]net
Jeśli któraś z tych domen jest na liście na Twoim firewallu, proponujemy zrestartować urządzenie i przestawić telefon w tryb Lockdown, który opisywaliśmy tutaj.