Kaspersky, bu yılın başlarında Üçgenleme Operasyonu adlı bir kampanya kapsamında kendi cihazları saldırıya uğradığında keşfettiği yeni bir iOS casus yazılımı hakkında daha fazla ayrıntı paylaştı.
Düzinelerce Kaspersky çalışanının, cihazı ele geçirmek ve gözetlemek amacıyla iMessage aracılığıyla sıfır tıklamayla açıkları dağıtmak için “karmaşık bir yöntem” kullanan gelişmiş kalıcı tehdit (APT) kampanyasından etkilendiği anlaşılıyor.
Kaspersky, saldırıda yararlanılan güvenlik açığının “sistem korumasındaki en göze çarpan boşluklardan biri” ve “bugüne kadar karşılaştığımız en güçlü güvenlik açıklarından biri” olduğunu söyledi.
TriangleDB adı verilen kötü amaçlı implant, tehdit aktörünün ilk olarak hedef cihazda iki zincirleme güvenlik açığı üzerinde kök ayrıcalıkları elde etmesinden sonra konuşlandırılır, ancak bellekte konuşlandırıldığı için cihaz yeniden başlatıldığında silinir, bu durumda saldırganların baştan başlaması gerekir. .
Başlatıldığında bir komuta ve kontrol (C2) sunucusuyla iletişim kurar ve zaman zaman sistem bilgileri, cihaz tanımlayıcıları vb. gibi “kalp atışı” verileriyle sunucuya ping gönderir ve C2 sunucusu da açık komutları kullanarak çeşitli komutlarla yanıt verir. Google’da geliştirilen kaynak Protobuf veri değişim formatı.
Bu komutlar, dosyaları oluşturma, değiştirme, dışarı çıkarma ve kaldırma, cihaz işlemleriyle etkileşimde bulunma, kimlik bilgileri toplamak için anahtar zincirlerini boşaltma, konum izleme ve ek yürütülebilir dosyaları yükleme ve çalıştırma gibi çeşitli işlevleri yerine getirir.
Gizli kampanya
Kaspersky’den Georgy Kucherin, Leonid Bezvershenko ve Valentin Pashkov, son güncellemelerinde TriangleDB’nin arkasındaki tehdit aktörünün izlerini gizlemek için nasıl bazı olağanüstü gizli yöntemler kullandığını ortaya çıkardı.
Araştırmacılar tarafından belirlenen iki doğrulama aşaması özellikle ilgi çekicidir. Bunlar, JavaScript Doğrulayıcı ve İkili Doğrulayıcı olarak adlandırılır ve kötü amaçlı yazılım implantasyonunun tesliminden önce, saldırı altındaki iPhone veya iPad’in bir araştırma cihazı olup olmadığını değerlendirmek için birlikte çalışır. sıfır günlerinin ve açıklarının “yanlışlıkla” yakılmama ihtimali vardır.
İlki olan JavaScript Doğrulayıcı bu şekilde çalışır. Kampanyanın ilk aşamasında kurban, backuprabbit etki alanında benzersiz bir URL’yi sessizce açan sıfır tıklama istismarını içeren görünmez iMessage ekini alır. Bu kötü amaçlı HTML sayfası, NaCl şifreleme kitaplığının gizlenmiş JavaScript kodunu ve doğrulayıcının kendisi olan şifrelenmiş bir veri yükünü içerir.
Doğrulayıcı, indirildikten sonra birkaç kontrol gerçekleştirir ve Kanvas Parmak İzi olarak bilinen bir parmak izi tekniğini kullanır – bu durumda, WebGL’yi kullanarak pembe bir arka plan üzerine sarı bir üçgen çizer (dolayısıyla TriangleDB adı) ve ardından sağlama toplamını hesaplar. Daha sonra enfeksiyon zincirinin bir sonraki aşamasını almak için toplanan tüm bilgileri şifreler ve başka bir yedek tavşan URL’sine gönderir.
İkili Doğrulayıcı daha sonra bir komut dosyası değil, Mach-O ikili dosyası biçiminde gelir ve başlatıldığında AES kullanarak yapılandırmasının şifresini çözer. Yapılandırma, doğrulayıcının gerçekleştireceği eylemlerin bir listesini içeren bir plisttir; özellikle cihazda önceden oluşturulmuş olabilecek kilitlenme günlüklerini kaldırmak ve çeşitli cihaz veritabanlarında başlangıçtaki kötü amaçlı iMessage ekinin izlerini aramak ve bu kayıtlardan kurtulmak için. onlara. Bunu yapmak için, doğrulayıcının yapılandırması, Gmail, Hotmail, Outlook ve Yahoo gibi hizmetler tarafından sağlanan e-posta adreslerini kullanan APT aktörü tarafından kullanılan birden fazla Apple Kimliği karmasını içerir; araştırmacılar bu adresleri yazılarında yayınladılar.
Doğrulayıcı ayrıca cihazda çalışan işlemlerin bir listesini ve ağ arayüzlerinin bir listesini alır, cihazın jailbreakli olup olmadığını kontrol eder, kişiselleştirilmiş reklam izlemeyi açar, kullanıcı adı, telefon numarası, IMEI tanımlayıcı ve Apple kimliği dahil olmak üzere mağdur bilgilerini toplar ve yüklü uygulamaların bir listesini derler. Bu bilgi C2 sunucusuna geri gönderildiğinde TriangleDB implantı teslim edilir.
Ancak Kucherin, Bezvershenko ve Pashkov sinsiceliğin burada bitmediğini söyledi. TriangleDB implantının kendisinin, saldırı zincirini ve varlığını gizlemek için, araştırmacılara ipuçları sunabilecek cihaz günlüklerinin alınması ve bunların cihazdan silinmesi de dahil olmak üzere çok sayıda güvenlik önlemi içerdiğini buldular.
“Üçgenleştirmenin arkasındaki düşman, tespit edilmekten kaçınmak için büyük özen gösterdi. Açıkların ve implantın güvenlik araştırmacılarına teslim edilmemesini sağlamak için enfeksiyon zincirine iki doğrulayıcı eklediler” dedi ekip.
“Ayrıca mikrofon kaydı, ekran kullanılırken duracak şekilde ayarlanabiliyor. Konum izleme modülü, eğer mevcut değilse, standart GPS işlevselliğini kullanmayabilir, bunun yerine GSM ağından gelen meta verileri kullanabilir.
“Saldırganlar, saldırı sırasında özel, belgelenmemiş API’ler kullandıklarından, iOS’un dahili bileşenlerini de çok iyi anladıklarını gösterdiler. Ayrıca bazı modüllerde 8.0’dan önceki iOS sürümleri için destek uygulandı. Bunların 2015’ten önce yaygın olarak kullanıldığını hatırlayın; bu, modüllerin kodunun ne kadar süredir kullanıldığına dair bir gösterge veriyor.
“Son olarak, bu saldırıda kullanılan bazı bileşenler, macOS sistemlerini de hedef aldıklarını gösterebilecek kodlar içeriyor ancak yayın tarihi itibarıyla macOS cihazlarda herhangi bir Üçgenleme izine rastlanmadı” diye eklediler.
İlişkilendirme olası değil
Kaspersky nadiren tehdit faaliyetlerine ilişkin kesin atıflarda bulunuyor ve Üçgenleme Operasyonunun arkasında kimin olabileceği konusunda sessiz kalıyor.
Ancak bu yılın haziran ayında Rusya federal güvenlik kurumu FSB, saldırının arkasında ABD istihbarat servislerinin olduğunu ve Apple’ın tüm bilgisi ve desteğiyle çalıştığını iddia etti.
Bu iddiaların hiçbiri doğrulanmadı ve Apple’ın, Kaspersky araştırmacılarının TriangleDB enfeksiyon zincirinde kullanıldığını tespit ettiği CVE-2023-32434 ve CVE-2023-32435 adlı iki sıfır gün güvenlik açığı için yamalar yayınladığını belirtmek önemli. 21 Haziran’da.
Bir Apple sözcüsü şunları söyledi: “Hiçbir Apple ürününe arka kapı yerleştirmek için hiçbir hükümetle çalışmadık ve asla çalışmayacağız.”