Скрытные шпионские инструменты для iPhone составляют конкуренцию знаменитому Pegasus

«Лаборатория Касперского» исследует новую кампанию, нацеленную на iOS и, возможно, macOS. Жертвами атак чуть не стали сотрудники самой «Лаборатории». Поэтому они переловили все инструменты злоумышленников и анализируют их во всех подробностях.

Триангуляция триангуляторов

«Лаборатория Касперского» опубликовала пространный технический анализ вредоносной кампании, нацеленной на устройства под управлением операционной системы Apple iOS. «Операция Триангуляция» получила свое название по одному из ключевых своих элементов - импланту TriangleDB.

Сотрудники «Лаборатории» и сами оказались в числе целей этой кампании. Тем выше оказалась их мотивация перехватить и изучить все инструменты злоумышленников, стоявших за ней.

По данным экспертов компании, речь идет о крупномасштабной и многофункциональной APT-платформе, которая отличается «особой скрытностью». Специалисты «Лаборатории» поставили цель перехватить как можно больше компонентов цепочки заражения, и на эту работу ушло около полугода. Первым анализу подвергся именно TriangleDB, первая публикация о нем состоялась еще в июне 2023 г.

Выяснилось, что злоумышленники использовали бескликовый (т.е. не требующий никакого содействия от жертвы) эксплойт к iOS, эксплуатирующий сразу две уязвимости нулевого дня - CVE-2023-32434 и CVE-2023-32435. Эксплойт позволял загружать в среду iOS вредоносные вложения через платформу iMessage. Вложения в итоге позволяли злоумышленникам получать полный контроль над устройством и пользовательскими данными. CVE-2023-32434 - это как раз «баг» ядра iOS, допускающий запуск произвольного кода.

Имплант и валидаторы

Непосредственной же загрузке TriangleDB предшествует запуск двух модулей-«валидаторов». Первый представляет собой скрипт, написанный на JavaScript, второй представляет собой бинарный файл Mach-O.

Как указывается в публикации на Securelist, валидаторы «собирают и отправляют на командный сервер различную информацию об устройстве жертвы, которая затем используется в том числе для того, чтобы убедиться, что iPhone или iPad, на который собираются загрузить TriangleDB, не является исследовательским устройством. Это помогает злоумышленникам не выдать свои эксплойты и имплант».

Любопытно, что именно бинарный валидатор выдал кое-какую информацию о злоумышленниках. Дело в том, что в задачи, которые он выполняет, входит поиск и удаление различных артефактов, которые могут оставаться после первичного заражения.

Как пишут представители «Лаборатории», бинарный валидатор ищет «следы вредоносного сообщения iMessage в различных базах данных, таких как ids-pub-id.db и knowledgeC.db, и удаляет их. Для этого в конфигурации валидатора содержатся 40 MD5-хэшей различных Apple ID, которые использовались для отправки iMessage».

Большинство этих хэшей сотрудникам «Лаборатории» удалось взломать и получить список email-адресов Apple ID, которыми пользовались злоумышленники.

Адреса преимущественно относятся к доменам outlook.com и gmail.com; реже встречаются yahoo.com, hotmail.com, aol.com и mail.com.

Некоторые из этих адресов содержат полные имена и фамилии, некоторые - псевдонимы (в т.ч. юмористические). Случайных комбинаций символов не наблюдается. Впрочем, будет опрометчиво утверждать, что, например, упоминаемый там адрес christineashleysmith[at]gmail.com действительно принадлежит кому-то, кто носит имя Кристин Эшли Смит.

Помимо попыток распознать, не является ли атакуемое устройство тестовым стендом, валидаторы проверяют доступность таких компонентов, как Media Source API и WebAssembly, проверяют устройство на наличие джейлбрейка, включают отслеживание персонализированной рекламы и извлекают список установленных приложений, действующих процессов и сетевых интерфейсов.

Любопытно, что эти действия в бинарном валидаторе прописаны как для iOS, так и для macOS.

Логи всех этих действий шифруются и пересылаются на командный сервер. В ответ поступает вредоносный имплант TriangleDB.

Тот устанавливает соединение с контрольным сервером и отправляет сигнал о своей активности. Затем ему поступают команды на удаление логов любых сбоев и файлов баз данных, чтобы замести следы и затруднить анализ.

Вдобавок имплант получает инструкции на периодическую отправку файлов из каталога /private/var/tmp, где хранятся данные о местоположении жертвы, ключи к iCloud, данные, относящиеся к SQL и записи с микрофона.

Вредонос снабжен модулем для записи аудио с микрофона. Он, однако, активен только если экран устройства выключен, а заряд батареи превышает 10%. Еще один фактор снижения заметности.

Наиболее, возможно, неприятным аспектом вредоноса является его способность использовать GSM-данные - мобильный код страны (MCC), код мобильной сети (MNC) и код локального окружения (LAC) для всамделишной триангуляции местоположения жертвы в условиях, когда данные GPS недоступны. За это отвечает отдельный модуль TriangleDB.

«Вполне очевидно, что речь идет о продвинутом инструменте кибершпионажа, который вполне может составить теперь конкуренцию оскандалившемуся Pegasus», - говорит директор по безопасности компании SEQ Анастасия Мельникова. По ее мнению, даже тот факт, что вредоносные компоненты, по утверждению представителей «Лаборатории Касперского», выловлены все до одного, это не значит, что они будут автоматически обнаруживаться при каждом заражении. «Вдобавок с помощью небольших изменений операторы кампании могут дополнительно снизить обнаруживаемость своих инструментов, сделав их еще большей проблемой», - дополнила Анастасия Мельникова.

«Злоумышленники, стоящие за кампанией «Операция Триангуляция», приложили немало усилий к тому, чтобы избежать обнаружения, - говорится в публикации «Лаборатории». По данным «Лаборатории Касперского», злоумышленники также продемонстрировали глубокое понимание внутренних особенностей iOS и использовали недокументированные приватные API в ходе атаки. Кроме того, они реализовали в некоторых модулях поддержку версий iOS, предшествующих 8.0. Напомним, они были широко распространены до 2015 г., что дает представление о том, как долго данные модули могли использоваться».

Аналитики «Лаборатории» отмечают, что некоторые компоненты цепочки заражения содержат код, указывающий на возможность проведения атак и на macOS, хотя на момент публикации следов «Триангуляции» на устройствах под управлением macOS обнаружено не было.

Полный текст анализа доступен здесь.