Ostrzeżenie wydane dla użytkowników iPhone’a w związku z ujawnieniem ataku na iMessage 0-Click
Naukowcy z rosyjskiego giganta bezpieczeństwa cybernetycznego Kaspersky wydali ostrzeżenie dotyczące trwającej kampanii ataków wykorzystujących lukę zero-day i zero-day w iMessage. Ta wcześniej nieznana luka umożliwia wykonanie kodu, w tym, jak twierdzą naukowcy, „dodatkowe exploity do eskalacji uprawnień”. Złośliwy załącznik iMessage wykorzystuje „szereg luk w systemie operacyjnym iOS” i uruchamia ten załącznik w celu zainstalowania oprogramowania szpiegującego, zgodnie z wpisem na blogu Eugene Kaspersky.
Rosyjska służba bezpieczeństwa FSB twierdzi, że luka dotyczy zarówno obywateli rosyjskich, jak i dyplomatów, i oskarżyła Apple i amerykańską Agencję Bezpieczeństwa Narodowego (NSA) o bycie za atakami, czemu Apple zaprzeczył.
Operacja Ataki triangulacyjne w toku
Kampania, którą Kaspersky nazwał Operation Triangulation, nie wymaga interakcji użytkownika. W związku z tym należy to do najbardziej krytycznych metod ataków. Samo wysłanie złośliwego komunikatu iMessage, który zawiera załącznik zawierający exploita, uruchamia lukę.
Co dość niepokojące, badacze z Kaspersky twierdzą, że prześledzili najwcześniejszy przykład ataku aż do 2019 roku. Od wczoraj potwierdzają również, że ataki nadal trwają.
Odkrycie ataku zerowym kliknięciem
Badacze bezpieczeństwa dowiedzieli się o podejrzanej aktywności podczas monitorowania urządzeń, w tym pewnej liczby iPhone’ów, przy użyciu platformy Kaspersky Unified Monitoring and Analysis Platform (KUMA).
Ślady włamania zostały potwierdzone po tym, jak badacze utworzyli kopie zapasowe iPhone’ów w trybie offline i sprawdzili je za pomocą mobilnego zestawu narzędzi do weryfikacji. Okazało się, że ostateczny ładunek został pobrany z „w pełni funkcjonalnej” platformy zaawansowanego trwałego zagrożenia (APT). Jednak dokładna natura tego ładunku nie została jeszcze potwierdzona.
Rozumiemy, że działa z uprawnieniami administratora i pozostawia zestaw poleceń, których można użyć do zbierania informacji zarówno o systemie, jak io użytkowniku. Publikowanie na Twitterze, założyciel firmy Kaspersky — powiedział Jewgienij Kasperski że atak „przekazuje prywatne informacje na zdalne serwery: nagrania z mikrofonu, zdjęcia z komunikatorów internetowych, geolokalizację i dane dotyczące szeregu innych działań”.
Rosja sugeruje, że ataki są backdoorem dla szpiegów NSA
Chociaż obecnie nie ma niezbitych dowodów na to, kto jest celem tej kampanii, rosyjska służba bezpieczeństwa FSB już twierdziła, że tysiące Rosjan, w tym zarówno zwykli użytkownicy, jak i zagraniczni dyplomaci z siedzibą w Rosji, zostało narażonych na szwank. Chociaż firma Kaspersky wyjaśniła, że w tej chwili nie może dokonać żadnego przypisania, FSB zdecydowanie obwinia NSA i Apple działające w zmowie. Apple równie jasno stwierdziło, że „nigdy nie współpracowało z żadnym rządem w celu wprowadzenia tylnych drzwi do jakiegokolwiek produktu Apple”.
Jak złagodzić atak
Na szczęście wydaje się, że jest to dość łatwy exploit do złagodzenia, ponieważ badacze z firmy Kaspersky nie znaleźli żadnych urządzeń z systemem iOS w wersji nowszej niż 15.7, które zostałyby naruszone. Jest zatem całkiem możliwe, że wykorzystywana luka została załatana w późniejszych wersjach systemu iOS.
Moja rada byłaby zatem taka sama jak zawsze, jeśli chodzi o platformy systemów operacyjnych: aktualizuj, gdy tylko zostaną wydane. Obecnie byłby to iOS 16.5 i sprawdziłbym, czy Twój iPhone rzeczywiście został zaktualizowany. To powiedziawszy, należy również zauważyć, że fakt, że nie wykryto żadnych zainfekowanych iPhone’ów korzystających z iOS 16.5, nie oznacza, że jest w 100% wykluczony, że mogły być lub będą w przyszłości.
Aktualizacja: firma Kaspersky udostępniła teraz narzędzie „Triangle Check”, które pozwala szukać dowodów na włamania na ich urządzeniach. „Dzięki możliwościom międzyplatformowym funkcja „triangle_check” umożliwia użytkownikom automatyczne skanowanie urządzeń” — powiedział Igor Kuzniecow, szef jednostki EEMEA w Kaspersky Global Research and Analysis Team (GReAT). „Wzywamy społeczność zajmującą się cyberbezpieczeństwem do zjednoczenia sił w badaniach nad nowym APT w celu zbudowania bezpieczniejszego cyfrowego świata”.
Jednak przed użyciem użytkownik musi wykonać kopię zapasową urządzenia, które ma zostać wykonane, a następnie narzędzie uruchamia skanowanie tej kopii zapasowej. Triangle Check jest dostępny dla użytkowników systemów Windows, MacOS i Linux i można go znaleźć tutaj.