Ayın başında yayınladığımız Rusya’nın Apple cihazlarda casus yazılım bulması konusunda daha fazla ayrıntı ortaya çıktı.
Operasyonu keşfeden ve arka kapıya TriangleDB adını veren Kaspersky, kötü amaçlı yazılımın 30 günlük bir kullanım ömrü olduğunu ve bu sürenin ardından saldırganlar tarafından süre uzatılmadığı takdirde otomatik olarak kaldırıldığını söyledi.
Kaspersky araştırmacıları bugün yayınlanan yeni bir raporda şöyle yazdı :
“İmplant, saldırganlar bir çekirdek güvenlik açığından yararlanarak hedef iOS cihazında kök ayrıcalıkları elde ettikten sonra devreye alınır.
Hafızada dağıtılır, yani cihaz yeniden başlatıldığında implantın tüm izleri kaybolur. Bu nedenle, kurban cihazını yeniden başlatırsa, saldırganların kötü amaçlı bir ek içeren bir iMessage göndererek cihazı yeniden bulaştırması gerekir, böylece tüm sistem çalışmaya başlar. “
Triangulation operasyonu, iMessage platformu aracılığıyla sıfır tıklamalı istismarların kullanılmasını anlamına geliyor. Böylece casus yazılımın cihaz ve kullanıcı verileri üzerinde tam kontrol sahibi olmasını sağlar.
Kaspersky CEO’su Eugene Kaspersky,
“Saldırı, iOS işletim sistemindeki bir dizi güvenlik açığını kullanarak bir cihazda yürütülen ve casus yazılım yükleyen kötü amaçlı bir eke sahip görünmez bir iMessage kullanılarak gerçekleştirildi. Casus yazılımın konuşlandırılması tamamen gizli ve kullanıcının herhangi bir işlem yapmasına gerek kalmıyor.”
Objective-C’de yazılan TriangleDB, gizli çerçevenin en önemli noktasını oluşturuyor. Komuta ve kontrol (C2) sunucusuyla şifreli bağlantılar kurmak ve düzenli olarak cihazın meta verilerini içeren bir sinyal sinyali göndermek için tasarlanmış. Sunucu, kalp atışı mesajlarına iCloud Anahtar Zinciri verilerini boşaltmayı ve hassas verileri toplamak için belleğe ek Mach-O modülleri yüklemeyi mümkün kılan 24 komuttan biriyle yanıt verir. Bu, diğerlerinin yanı sıra dosya içeriklerini, coğrafi konumu, yüklü iOS uygulamalarını ve çalışan işlemleri içerir. Saldırı zincirleri, izleri örtmek için ilk mesajın silinmesiyle doruğa ulaşır.
Kaynak kodun daha yakından incelenmesi, kötü amaçlı yazılım yazarlarının dize şifre çözmeyi “unmunging” olarak adlandırdığı ve dosyalara (kayıt), işlemlere (şema), C2 sunucusuna (DB Sunucusu) ve coğrafi konuma veritabanı terminolojisinden adlar atadığı bazı olağandışı yönleri ortaya çıkardı. bilgi (Veritabanı Durumu).
Bir başka dikkate değer özellik de “populateWithFieldsMacOSOnly” rutininin varlığı. Bu yöntem, iOS implantında hiçbir yerde çağrılmasa da, adlandırma kuralı, TriangleDB’nin macOS aygıtlarını hedeflemek için silah haline getirilme olasılığını da artırır.
Kaspersky araştırmacıları şöyle diyor:
“İmplant, işletim sisteminden birden fazla yetki (izin) istiyor. Kamera, mikrofon ve adres defterine erişim ya da Bluetooth üzerinden cihazlarla etkileşim gibi bazıları kodda kullanılmıyor. Böylece bu yetkilerin verdiği işlevler modüllerde hayata geçirilebilir.”
Şu anda operasyonun arkasında kimin olduğu ve nihai hedeflerinin ne olduğu bilinmiyor.