روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ متخصصین ما حمله سایبری هدف‌دار به شدت حرفه‌ای و پیچیده‌ای را که از دستگاه‌های موبایل اپل استفاده می‌کند کشف کرده‌اند هدف این حمله قرار دادن نامحسوس جاسوس‌افزاری به نام Triangulation در آیفون‌ کارمندان شرکت بوده است. با ما همراه شوید تا شما را از چند و چون ماجرا باخبر سازیم. حمله با استفاده از آی‌مسیجی نامحسوس حاوی پیوست مخرب پیش می‌رود که با استفاده از آسیب‌پذیری‌های داخل سیستم‌عامل آی‌اواس روی دستگاه اجرا شده و جاسوس‌افزار نصب می‌کند. به‌کارگیری این جاسوس‌افزار تماماً مخفیانه صورت می‌‌گیرد و از سمت کاربر هیچ عملی نیاز نیست. سپس جاسوس‌افزار در سکوت اطلاعات خصوصی را به سرورهای ریموت منتقل می‌کند: صداهای ضبط‌شده با میکروفون، عکس‌هایی از مسنجرهای فوری، ژئولوکیشن و داده‌هایی در مورد یک سری فعالیت دارنده دستگاه آلوده.

علیرغم اینکه این حمله تا حد امکان چراغ خاموش جلو رفته اما کسپرسکی در نهایت با KUMA[1] -که راهکار بومی SIEM برای مدیریت رخداد و اطلاعات امنیتی است- آن را شناسایی کرد. اوایل سال جاری این سیستم توانست ناهنجاری را در شبکه‌مان که از سوی دستگاه‌های اپل بود تشخیص دهد. تحقیقات بیشتر توسط تیم ما نشان داد کلی آیفون کارمندان ارشد نیز به جاسوس‌افزار به شدت پیچیده (به لحاظ فنی) Triangulation آلوده شده است. به دلیل ماهیت بسته‌ی آی‌او‌اس هیچ ابزار سیستم‌عاملی استانداردی برای شناسایی و حذف این جاسوس‌افزار روی اسمارت‌فون‌های آلوده وجود ندارد (نمی‌تواند هم وجود داشته باشد). برای همین به ابزارهای اضافی و بیرونی نیاز است. نشانه غیرمستقیم حضور Triangulation روی دستگاه غیرفعال شدن توانایی آپدیت IOS است. برای تشخیص مطمئن‌تر و دقیق‌تر آلودگی واقعی نسخه بک‌آپ دستگاه باید تهیه شده و با ابزاری ویژه مورد بررسی قرار گیرد.

به روزرسانی 2 ژوئن 2023: ما ابزار triangle_check را توسعه داده‌ایم و به‌طور رایگان در دسترس قرار داده‌ایم، که می‌تواند شاخص‌های سازش را در بک‌آپ دستگاه اپل تشخیص دهد. دستورالعمل‌های دقیق در مورد نحوه استفاده از آن در سیستم عامل های مختلف (ویندوز، لینوکس و macOS)، و همچنین نحوه ایجاد یک نسخه پشتیبان از دستگاه را می‌توانید در پست Securelist بیابید.

به دلیل ویژگی‌های منحصر به فرد و ذاتی مسدود شدن آپدیت‌های آی‌اواس روی دستگاه‌های آلوده، هنوز راه مؤثری برای حذف جاسوس‌افزار بدون از دست دادن داده کاربری پیدا نکرده‌ایم. فقط این کار با ریست کردن آیفون‌های آلوده و برگرداندن آن‌ها به حالت کارخانه و نصب جدیدترین نسخه سیستم‌عامل و محیط کاربری از اولین و پایه‌ترین مرحله میسر می‌شود.

در غیر این صورت، حتی اگر جاسوس‌افزار در پی ریبوت از مموری دستگاه نیز پاک شود باز هم Triangulation قادر است با آسیب‌پذیری‌هایی که در نسخه منسوخ آی‌اواس موجود است دست به آلوده‌سازی مجدد بزند. گزارش ما در مورد Triangulation نشان‌دهنده یک تحقیق اولیه روی این حمله پیچیده است و در این مقاله بیشتر نتایج اولیه تحلیل خود را ارائه می‌دهیم درحالیکه این اتفاق هنوز خیلی جای کار دارد. این رخداد سایبری در ادامه باید تحت بررسی‌های بیشتر قرار گیرد که حتماً یافته‌های نهایی خود را در قالب مطلبی جداگانه با شما به اشتراک خواهیم گذاشت.

ما اطمینان داریم که کسپرسکی تنها تارگت این رخداد سایبری نبوده است. در روزهای آتی در خصوص گسترش جهانی این جاسوس‌افزار اطلاعات و شفافیت بیشتری به دست خواهد آمد. ما باور داریم دلیل اصلی این رخداد، ماهیت اختصاصی بودن آی‌اواس است. این سیستم‌عامل در واقع جعبه‌سیاهی است که در آن جاسوس‌افزاری چون Triangulation می‌تواند سال‌ها جا خشک کند. شناسایی و تحلیل چنین تهدیدهایی با انحصاری بودن ابزارهای تحقیقاتی اپل بسیار دشوار شده است- و جاسوس‌افزارهایی از این جنس درست از همین نقاط آسیب‌پذیر سوءاستفاده می‌کنند.

به بیانی دیگر، کاربران این توهم را دارند که سیستم‌عامل آی‌اواس از همه تهدیدها مصون است و هیچ عامل مخربی بدان رخنه نمی‌کند! اما آنچه در واقعیت برای آی‌اواس اتفاق می‌افتد هنوز برای خود متخصصین امنیت سایبری نیز مشخص نیست. این را هم بدانیم که اگر پوشش خبری در مورد حملات به آیفون‌ها و سیستم‌عامل آی‌اواس صورت نمی‌گیرد لزوماً به معنای این نیست این حملات هرگز اتفاق نمی‌افتند. دوست داریم این را نیز یادآور شویم که این اولین باری نیست به شرکت کسپرسکی حمله می‌شود. ما بخوبی آگاهیم که در محیطی تهاجمی کار می‌کنیم و روندهای واکنش به رخداد مناسبی نیز توسعه داده‌ایم. به لطف اقدامات صورت‌گرفته، شرکت کسپرسکی اکنون کارکرد نرمال خود را دارد، فرآیندهای تجاری و داده‌های کاربری ذره‌ای خدشه‌دار نشدند و این تهدید نیز خنثی شده است. ما همیشه‌ی همیشه از شما محافظت خواهیم کرد.

پی‌نوشت: اصلاً چرا Triangulation؟

برای تشخیص مشخصات نرم‌افزاری و سخت‌افزاری سیستم مورد هدف، Triangulation از فناوری  Canvas Fingerprinting استفاده کرده و در مموری دستگاه یک مثلث زرد رنگ می‌کشد.

[1]  Kaspersky Unified Monitoring and Analysis Platform

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.