חברת האבטחה קספרסקי, הממוקמת במוסקבה, נפגעה ממתקפת סייבר מתקדמת שהשתמשה במנצלים ללא קליקים כדי להדביק את מכשירי האייפון של כמה עשרות עובדים עם תוכנות זדוניות שאוספות הקלטות מיקרופון, תמונות, מיקום גיאוגרפי ונתונים אחרים, פקידי החברה אמר.
"אנחנו די בטוחים שקספרסקי לא הייתה המטרה העיקרית של מתקפת הסייבר הזו", כתב יוג'ין קספרסקי, מייסד החברה. הודעה פורסם ביום חמישי. "הימים הקרובים יביאו יותר בהירות ופרטים נוספים על ההתפשטות העולמית של תוכנות הריגול".
לפי גורמים רשמיים במרכז התיאום הלאומי הרוסי לתקריות מחשב, ההתקפות היו חלק מקמפיין רחב יותר של הסוכנות לביטחון לאומי של ארה"ב. הדביקו כמה אלפי מכשירי אייפון השייכים לאנשים בנציגויות דיפלומטיות ושגרירויות ברוסיה, במיוחד מאלה שנמצאות במדינות נאט"ו, מדינות פוסט-סובייטיות, ישראל, וסין. התראה נפרדת מה-FSB, שירות הביטחון הפדרלי של רוסיה, טענה שאפל שיתפה פעולה עם ה-NSA בקמפיין. נציג אפל דחה את הטענה.
ניצול APT ללא לחיצה הזה ישמיד את עצמו
התוכנה הזדונית, שנמצאת בשימוש נגד עובדי קספרסקי לפחות ארבע שנים, נמסרה בטקסטים של iMessage צורף קובץ זדוני שניצל אוטומטית פגיעות אחת או יותר מבלי לדרוש מהמקלט לקחת אף אחת מהן פעולה. עם זה, המכשירים נדבקו במה שחוקרי קספרסקי
מְתוּאָר כ"פלטפורמת APT עם כל התכונות". APT הוא קיצור של איום מתמשך מתקדם ומתייחס לשחקני איומים בעלי משאבים כמעט בלתי מוגבלים המכוונים ליחידים לאורך תקופות זמן ארוכות. APTs כמעט תמיד מגובים על ידי מדינות לאום.לאחר התקנת התוכנה הזדונית של APT, הודעת הטקסט הראשונית שהתחילה את שרשרת ההדבקה נמחקה. בפוסט של יום חמישי כתב יוג'ין קספרסקי:
המתקפה מתבצעת באמצעות iMessage בלתי נראה עם קובץ מצורף זדוני, אשר באמצעות מספר נקודות תורפה במערכת ההפעלה iOS, מבוצע במכשיר ומתקין תוכנות ריגול. פריסת תוכנת הריגול נסתרת לחלוטין ואינה דורשת פעולה מהמשתמש. יתרה מכך, תוכנת הריגול גם מעבירה בשקט מידע פרטי לשרתים מרוחקים: הקלטות מיקרופון, תמונות מסרים מידיים, מיקום גיאוגרפי ונתונים על מספר פעילויות אחרות של הבעלים של הנגוע התקן.
ההתקפה מתבצעת בדיסקרטיות ככל האפשר, עם זאת, עובדת ההדבקה זוהתה על ידי Kaspersky Unified Monitoring and Analysis Platform (KUMA), פתרון SIEM מקורי למידע ואירועים הַנהָלָה; המערכת זיהתה חריגה ברשת שלנו שמגיעה ממכשירי אפל. חקירה נוספת של הצוות שלנו הראתה שכמה עשרות מכשירי אייפון של העובדים שלנו נדבקו בתוכנת ריגול חדשה ומתוחכמת במיוחד מבחינה טכנולוגית שכינינו 'טריאנגולציה'.
מבצע טריאנגולציה קיבל את שמו מכיוון שהתוכנה הזדונית משתמשת בטכניקה המכונה טביעת אצבע על קנבס כדי לגלות באיזו חומרה ותוכנה מצויד הטלפון. במהלך תהליך זה, התוכנה הזדונית "מציירת משולש צהוב בזיכרון המכשיר", אמר יוג'ין קספרסקי.
חוקרי קספרסקי אמרו שהעקבות המוקדמים ביותר של זיהומי הטריאנגולציה מתחילים בשנת 2019, ונכון ליוני 2023, התקפות נמשכות. גרסת ה-iOS העדכנית ביותר שנועדה להצליח היא 15.7, שהייתה עדכנית מחודש שעבר. נציג קספרסקי אמר באימייל כי לא ברור אם אחת מהחוליות היו אפס ימים, כלומר הן לא היו ידועות לאפל ולא תועדו ב-iOS בזמן ניצולהן. לא ברור אם קספרסקי זיהתה את ההדבקות לפני השקת iOS 16 בחודש שעבר או אם טלפונים של קספרסי המשיכו להשתמש בגרסה הישנה יותר. נציג אפל ציין שאין שום אינדיקציה בחשבון של קספרסקי לכך שאחד מהניצולים פועל על גרסאות iOS מאוחרות מ-15.7.
באימייל כתב נציג קספרסקי:
במהלך ציר הזמן של המתקפה, הפגיעות של יום אחד היו פעם פרצות של יום אפס. למרות שאין אינדיקציה ברורה שאותן נקודות תורפה נוצלו בעבר, זה בהחלט אפשרי.
נכון לזמן כתיבת שורות אלו הצלחנו לזהות נקודות תורפה מני רבות שניצלו, ככל הנראה CVE-2022-46690. עם זאת, לאור התחכום של קמפיין ריגול הסייבר ומורכבות הניתוח של פלטפורמת iOS, מחקר נוסף בוודאי יגלה פרטים נוספים בעניין. נעדכן את הקהילה לגבי ממצאים חדשים ברגע שהם יופיעו.
ערכת הכלים הזדונית אינה מסוגלת להשיג התמדה, כלומר אינה שורדת אתחול מחדש, אמרו חוקרי קספרסקי. נציג קספרסקי אמר באימייל כי הקורבנות קיבלו שוב ניצול אפס קליק לאחר אתחול מחדש. סביר להניח שבימים או בשבועות הקרובים החברה תספק פרטים טכניים נוספים על התוכנה הזדונית, יעדי הקמפיין ומקורותיו.
רוסיה מאשימה את אפל בשיתוף פעולה עם ה-NSA
הפוסטים של קספרקי עלו בקנה אחד עם אחד מה-FSB, שירות הביטחון הפדרלי של רוסיה, טוענים כי היא "חשפה פעולת סיור של שירותי ביון אמריקאים שבוצעה באמצעות מכשירים ניידים של אפל. במהלך המעקב הרגיל, אמרו גורמים בסוכנות הרוסית, הם גילו ש"כמה אלפי מכשירי טלפון" נגועים. הפוסט האשים את אפל בסיוע למבצע לכאורה של הסוכנות לביטחון לאומי.
"לפיכך, המידע שהגיע לידי שירותי הביון הרוסי מעיד על שיתוף הפעולה ההדוק של חברת אפל האמריקאית עם המודיעין הלאומי הקהילה, בפרט ה-NSA האמריקאי, ומאשרת שהמדיניות המוצהרת של הבטחת סודיות הנתונים האישיים של משתמשים במכשירי אפל אינה נכונה", כתבו פקידים. הם לא סיפקו פרטים נוספים או ראיות לתמיכה בטענות.
באימייל, נציג אפל הכחיש את ההאשמה וקבע: "מעולם לא עבדנו עם אף ממשלה כדי להכניס דלת אחורית למוצר של אפל ולעולם לא נעשה".
א הודעה עם זאת, שפורסם על ידי מרכז התיאום הלאומי הרוסי לתקריות מחשב, קשר ישירות את התראת ה-FSB למתקפה של קספרסקי. נציג קספרסקי כתב באימייל: "למרות שאין לנו פרטים טכניים על מה שדווח על ידי ה-FSB עד כה, מרכז התיאום הלאומי הרוסי עבור תקריות מחשבים (NCCCI) כבר הצהירו בכוננותם הפומבית שהאינדיקטורים לפשרה זהים". נציג NSA אמר שלסוכנות אין תגובה על האשמות. נציגי אפל עדיין לא הגיבו למיילים המבקשים תגובה.
לקריאה נוספת
הבן החורג מ-Stuxnet עקב אחרי קספרסקי במשך חודשים, הצטרף לשיחות הגרעין באיראן"אנו מודעים היטב לכך שאנו עובדים בסביבה אגרסיבית מאוד ופיתחנו נהלי תגובה מתאימים לאירועים", כתב יוג'ין קספרסקי בפוסט של יום חמישי. "בזכות האמצעים שננקטו, החברה פועלת כרגיל, התהליכים העסקיים ונתוני המשתמשים אינם מושפעים, והאיום נוטרל".
