Всем привет! Сегодня у нас очень большая и важная новость.
Экспертами нашей компании была обнаружена крайне сложная, профессиональная целевая кибератака с использованием мобильных устройств производства Apple. Целью атаки было незаметное внедрение шпионского модуля в iPhone сотрудников компании — как топ-менеджмента, так и руководителей среднего звена.
Атака проводится при помощи невидимого iMessage-сообщения с вредоносным вложением, которое, используя ряд уязвимостей в операционной системе iOS, исполняется на устройстве и устанавливает шпионскую программу. Внедрение программы происходит абсолютно скрытно от пользователя и без какого-либо его участия. Далее шпионская программа так же незаметно передает на удаленные серверы приватную информацию: записи с микрофона, фотографии из мессенджеров, местоположение и сведения о ряде других активностей владельца зараженного устройства.
Атака проводится максимально скрытно, однако факт заражения был обнаружен нашей системой мониторинга и анализа сетевых событий KUMA. В начале этого года система выявила в нашей сети аномалию, исходящую с Apple-устройств. Дальнейшее расследование показало, что несколько десятков iPhone наших сотрудников оказались заражены новой, чрезвычайно технологически сложной шпионской программой, получившей название Triangulation («Триангуляция»).
По причине закрытости в iOS не существует (и не может существовать) каких-либо стандартных средств операционной системы для выявления и удаления этой шпионской программы на зараженных смартфонах. Для этого необходимо прибегать к внешним инструментам.
Косвенным признаком присутствия Triangulation на устройстве является блокировка возможности обновления iOS. Для более точного распознавания заражения потребуется снять резервную копию устройства и проверить ее специальной бесплатной утилитой (которую мы позже опубликуем на GitHub). Более подробные рекомендации изложены в технической статье на нашем блоге Securelist.
Мы разработали и выложили в свободный доступ утилиту triangle_check, способную выявить следы заражения в резервной копии устройства Apple. Подробную инструкцию по ее использованию под разными платфомами (Windows, Linux и macOS), а также по созданию, собственно, бэкапа устройства можно найти в посте на Securelist.
Из-за особенностей блокировки обновления iOS на зараженных устройствах нами пока не найдено действенного способа удаления шпионской программы без потери пользовательских данных. Это можно сделать только при помощи сброса зараженного iPhone до заводских настроек, установки последней версии операционной системы и всего окружения пользователя с нуля. Иначе, даже будучи удаленным из памяти устройства перезагрузкой, троян-шпион Triangulation способен провести повторное заражение через уязвимости в устаревшей версии iOS.
Расследование шпионской операции Triangulation только начинается. Сегодня мы публикуем первые результаты анализа, но впереди еще много работы. По ходу расследования инцидента мы будем обновлять этот пост и подведем черту проделанной работе на международной конференции Security Analyst Summit в октябре (следите за новостями на сайте).
Мы уверены, что наша компания не была главной целью этой шпионской операции. Надеемся, что уже в ближайшие дни мы получим статистику распространения «троянского треугольника» в других странах и регионах.
Мы считаем, что главной причиной этого инцидента является закрытость iOS. Данная операционная система является «черным ящиком», в котором годами могут скрываться шпионские программы, подобные Triangulation. Обнаружение и анализ таких угроз осложняется монополизацией Apple исследовательских инструментов, что создает для шпионских программ идеальное убежище. Иными словами, как я уже не раз говорил, у пользователей создаётся иллюзия безопасности, связанная с полной непрозрачностью системы. Что на самом деле происходит в iOS, специалистам по IT-безопасности неизвестно. Отсутствие новостей об атаках отнюдь не свидетельствует о невозможности самих атак — в чем мы только что убедились.
Хочется напомнить, что это не первый случай целевой атаки против нашей компании. Мы прекрасно понимаем, что работаем в очень агрессивном окружении, и выработали соответствующие процедуры реагирования. Благодаря принятым мерам компания работает в штатном режиме, бизнес-процессы и пользовательские данные не затронуты, угроза нейтрализована. Мы продолжаем защищать вас, как всегда.
P.S. А причем здесь триангуляция?
Для распознавания программной и аппаратной спецификации атакуемой системы Triangulation использует технологию Canvas Fingerprinting и рисует в памяти устройства желтый треугольник.