Мобильные телефоны все чаще становятся объектами внимания операторов APT. Не так давно технологии выявили новую APT-атаку на мобильные телефоны iPhone. Атака была частью кампании, целью которой в числе прочих являлись и сотрудники «Лаборатории Касперского». Используя уязвимости в ядре системы, неизвестные злоумышленники разворачивали в памяти устройства шпионский имплант, получивший название TriangleDB. Экспертам «Лаборатории Касперского» удалось тщательно изучить этот имплант.
Что умеет имплант TriangleDB?
Изучение импланта представляло определенную трудность, поскольку он работает исключительно в памяти телефона, не оставляя следов в системе. То есть перезагрузка полностью уничтожает все следы атаки. Кроме того, через 30 дней после заражения TriangleDB самоуничтожается (если не получает команды на продление работы от операторов). Базовая функциональность импланта включает следующие возможности:
- манипуляции с файлами (создание, модификация, удаление и эксфильтрация);
- манипуляции с запущенными процессами (получение списка и их завершение);
- эксфильтрация элементов связки ключей iOS (keychain), которые могут содержать учетные данные для разных сервисов, сертификаты и прочие ключи;
- передача данных геопозиционирования, включая координаты, высоту, скорость и направление движения.
Помимо этого, имплант может загружать в память телефона и запускать дополнительные модули.
APT-атаки на мобильные устройства.
Еще не так давно основной целью APT-атак были преимущественно традиционные персональные компьютеры. Однако современные мобильные устройства не уступают в производительности и функциональности иному офисному ПК. Они все чаще используются для работы с критически важной для бизнеса информацией, хранят как личные, так и деловые секреты и могут служить ключами для доступа к рабочим сервисам. Поэтому APT-группировки прикладывают особенные усилия для проведения атак на мобильные операционные системы.
Разумеется, Triangulation — это далеко не первая кампания, направленная на iOS-устройства. Все помнят нашумевшую историю с использованием коммерческого шпионского ПО Pegasus. Были и другие примеры — INSOMNIA, Predator, Reign. Разумеется, интересуются злоумышленники и мобильной ОС Android. Не так давно в новостях писали об атаке группировки Transparent Tribe, применявшей бэкдор CapraRAT против индийских и пакистанских пользователей этой системы. А в третьем квартале прошлого года «Лаборатории Касперского» обнаружили ранее неизвестное шпионское приложение, нацеленное на пользователей, говорящих на фарси.
Все это говорит о том, что для защиты современной компании от APT-атак необходимо обеспечивать безопасность не только стационарного оборудования — серверов и рабочих станций, — но и используемых в работе мобильных устройств.
Как повысить шансы против APT-атак на мобильные устройства?
Не стоит считать, что для защиты мобильных устройств достаточно дефолтных защитных технологий, обеспечиваемых производителями устройств. История с Triangulation наглядно показывает, что даже технологии Apple не идеальны. Поэтому мы рекомендуем обязательно применять многоуровневую систему защиты, включающую тщательный контроль не только самих мобильных устройств, но и их сетевых взаимодействий.
Первой линией обороны должно стать решение класса MDM, который позволит обеспечить автоматизированное управление жизненным циклом устройств, прозрачность инфраструктуры и централизованное управление политиками и настройками мобильной ОС.
Однако мобильные угрозы эволюционируют достаточно быстро, а их создатели прикладывают множество усилий для того, чтобы сделать их максимально незаметными. Поэтому для своевременного обнаружения вредоносной активности имеет смысл применять систему управления событиями и информацией о безопасности (SIEM).
Обновления.
Apple закрыла дыры, использованные в атаке Triangulation. 21.06.2023 Apple выпустила обновления для iOS 15 (https://support.apple.com/en-us/HT213811) и iOS 16, (https://support.apple.com/en-us/HT213814) в которых устранены уязвимости CVE-2023-32434 в ядре и CVE-2023-32439 в Webkit. Обе использовались в реальных атаках и обе приводят к выполнению произвольного кода. Обновляйтесь скорее!