Операция Триангуляция: как именно кибершпионы собирали данные с iOS

Специалисты выяснили, что имплант TriangleDB внедряется после успешной эксплуатации уязвимости ядра для получения привилегий суперпользователя на целевом устройстве iOS. После развёртывания он работает исключительно в памяти устройства, поэтому следы заражения исчезают после перезагрузки устройства. Если жертва перезагружает устройство, злоумышленнику необходимо повторно заразить его, отправив заново iMessage с вредоносным вложением. Таким образом весь процесс эксплуатации запускается заново. Если перезагрузка не произойдёт, имплант автоматически удалится через 30 дней, если злоумышленники не продлят этот срок. TriangleDB — это сложное шпионское ПО, которое содержит широкий спектр функций по сбору данных и мониторингу.

Всего этот зловред может выполнять 24 команды. Они позволяют злоумышленникам запускать разные процессы, в том числе взаимодействовать с файловой системой устройства (включая создание, изменение, кражу и удаление файлов), управлять процессами (получение списка и их завершение), извлекать элементы связки ключей для сбора учётных данных и вести мониторинг геолокации жертвы.

Анализируя TriangleDB, эксперты обнаружили, что класс CRConfig содержит неиспользуемый метод populateWithFieldsMacOSOnly. Это косвенно указывает на то, что аналогичный имплант может использоваться в атаках на устройства на macOS.

Чтобы минимизировать риски целевых кибератак, специалситы по информационной безопасности рекомендуют компаниям:

- для обнаружения, расследования и своевременного устранения инцидентов на уровне конечных точек использовать надёжное защитное решение для бизнеса;

- обновлять операционную систему Windows и любое стороннее программное обеспечение оперативно и регулярно;

- предоставить вашей команде SOC доступ к актуальной информации об угрозах (TI);

- поскольку многие целевые атаки начинаются с фишинга или других методов социальной инженерии, проводить тренинги по безопасности.