Apple on julkaissut hätäkorjaukset kahdelle uudelle nollapäivän haavoittuvuudelle ohjelmistossaan, joita kehittynyt pysyvä uhka (APT) -toimija on käyttänyt haittaohjelmien käyttöönottamiseksi meneillään olevassa iOS-vakoilukampanjassa, jonka nimi on "Operation Triangulation".
Sillä välin keskiviikkona Kaspersky julkaisi uuden raportin joka antoi lisätietoja kampanjassa käytetystä TriangleDB-spyware-implantista, jonka se merkitsi sisältävän useita omituisuuksia, kuten käytöstä poistettuja ominaisuuksia, jotka voitaisiin ottaa käyttöön myöhemmin.
Yrityksen mukaan sen analyysi osoitti, että toistaiseksi haittaohjelma tukee 24 toiminnallista komentoa, jotka palvelevat erilaisia tarkoituksia, kuten tiedostojen luomista, muokkaamista, poistamista ja varastamista, prosessien listaamista ja lopettamista, tunnistetietojen keräämistä uhrin avainnipusta ja heidän sijainnin valvontaa.
"Erityisen merkittäviä ominaisuuksia ovat kyky lukea mitä tahansa tartunnan saaneessa laitteessa olevaa tiedostoa, poimia salasanoja uhrin avaimenperästä ja seurata laitteen maantieteellistä sijaintia", sanoo Georgy Kucherin, yksi Kasperskyn tietoturvatutkijoista, jotka löysivät nollapäivän virheet. jonka Apple julkisti tällä viikolla.
Nollapäivän trio
Yksi äskettäin käsitellyistä tietoturva-aukoista (CVE-2023-32434) vaikuttaa useisiin iOS-versioihin ja antaa hyökkääjille tavan suorittaa mielivaltaista koodia ydintason oikeuksilla iPhonessa ja iPadissa. Toinen haavoittuvuus (CVE-2023-32439) on Applen WebKit-selaimessa ja mahdollistaa mielivaltaisen koodin suorittamisen haitallisen verkkosisällön kautta. Apple julkaisi 21. kesäkuuta 2023 päivityksiä, jotka korjaavat molemmat haavoittuvuudet.
Nämä kaksi vikaa ovat osa kolmen Applen nollapäivän sarjaa, jotka Kasperskyn tutkijat ovat tähän mennessä löytäneet tutkiessaan. Operaatio Triangulaatio. Tutkinta alkoi noin seitsemän kuukautta sitten, kun turvayritys havaitsi yrityksen Wi-Fi-verkossaan useita kymmeniä iOS-laitteita käyttäytyvän epäilyttävällä tavalla.
Yhtiö julkaisi asiasta raportin haitallisen toiminnan alustava analyysi, kesäkuun alussa. Tuolloin Kaspersky kuvaili hyökkääjien todennäköisesti käyttäneen Applen ohjelmiston useita haavoittuvuuksia toimittaakseen TriangleDB-vakoiluohjelma-implanttia iOS-laitteille, jotka kuuluvat kohdennetuille iOS-käyttäjille. Yrityksen tutkijat tunnistivat ensimmäisen puutteista CVE-2022-46690, rajojen ulkopuolinen ongelma, joka salli sovelluksen suorittaa mielivaltaisen koodin ydintasolla. Kaspersky kuvaili itse haittaohjelman toimivaksi pääkäyttäjän oikeuksin, joka pystyy suorittamaan mielivaltaista koodia laitteissa, joihin vaikuttaa, ja toteuttamaan joukon komentoja järjestelmä- ja käyttäjätietojen keräämiseksi.
Kucherin sanoo, että tartunnan saaneella laitteella olevien tiedostojen lukeminen antaa hyökkääjille pääsyn arkaluontoisiin tietoihin, kuten valokuviin, videoihin, sähköposteihin sekä tietokantoihin, jotka sisältävät keskusteluja viestintäsovellusten kautta. TriangleDB:n avainnipun tyhjennysominaisuuksien avulla hyökkääjät voivat kerätä uhrin salasanoja ja käyttää niitä edelleen päästäkseen eri uhrin omistamille tileille.
TriangeDB näyttää uteliaan vakoiluohjelmien käyttäytymisen
Hieman kummallista, että implantti pyytää käyttöjärjestelmältä useita oikeuksia (tartunnan saaneilla laitteilla) ilman ilmeisiä tapoja käyttää tietoja, Kucherin sanoo. Esimerkkejä oikeuksista, joita haittaohjelma pyytää – mutta ei tällä hetkellä käytä – ovat pääsy mikrofoniin, kameraan ja osoitekirjaan.
"Nämä ominaisuudet voidaan toteuttaa lisämoduuleissa, joita implantti voi ladata", hän huomauttaa jossain vaiheessa.
Toinen merkittävä löytö, jonka Kaspersky teki analysoidessaan TriangleDB:tä, on se, että haittaohjelman takana olevat hyökkääjät pitävät silmällä myös kohdennettuja macOS-käyttäjiä. "Ehkä mielenkiintoisin löytö on "populateWithFieldsMacOSOnly" -menetelmä, jonka löysimme implantista", Kucherin sanoo. "Sen olemassaolo tarkoittaa, että vastaavia implantteja voidaan käyttää iOS-laitteiden lisäksi myös Mac-tietokoneisiin."
Kaspersky on arvioinut sen joutuneen kohdistetun hyökkäyksen uhriksi, mutta ei todennäköisesti ainoa. Venäjän liittovaltion turvallisuuspalvelun (FSB) tiedustelupalvelu on väittänyt – toimittamatta mitään todisteita – että Yhdysvaltain kansallinen turvallisuusvirasto (NSA), joka todennäköisesti on yhteistyössä Applen kanssa, on haittaohjelman ja vakoiluoperaation takana. Virasto on syyttänyt molempia vakoiluohjelmien asentamisesta tuhansiin iOS-laitteisiin, jotka kuuluvat Venäjän diplomaateille ja Venäjään liittyville henkilöille, joiden oletetaan kiinnostavan Yhdysvaltain hallitusta. Yhdysvaltoja muistuttavalla sävyllä syytökset Venäjää ja Kiinaa vastaan, Venäjän ulkoministeriö kuvaili iOS-vakoiluohjelmakampanjaa osaksi vuosikymmeniä jatkunutta pyrkimystä kerätä "suuren mittakaavan tietoja Internetin käyttäjistä" ilman heidän lupaansa tai tietämättään.
Sekä NSA että Apple ovat hylänneet syytökset.
Kaspersky on julkaissut apuohjelma nimeltä "triangle_check" joita organisaatiot voivat käyttää etsiäkseen merkkejä vakoiluohjelmista iOS-laitteissaan.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- EVM Finance. Hajautetun rahoituksen yhtenäinen käyttöliittymä. Pääsy tästä.
- Quantum Media Group. IR/PR vahvistettu. Pääsy tästä.
- PlatoAiStream. Web3 Data Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://www.darkreading.com/endpoint/more-apple-zero-days-exploited-ios-spying-campaign
