شرکت امنیتی کسپرسکی مستقر در مسکو مورد حمله سایبری پیشرفته ای قرار گرفته است که از سوء استفاده های بدون کلیک برای آلوده کردن آیفون های چند ده کارمند استفاده می کند. مقامات این شرکت گفتند که این تلفنها به بدافزار آلوده شدهاند که ضبطهای میکروفون، عکسها، موقعیت جغرافیایی و سایر دادهها را جمعآوری میکند.
یوجین کسپرسکی، موسس این شرکت، در پستی که روز پنجشنبه منتشر شد، نوشت: ما کاملاً مطمئن هستیم که کسپرسکی هدف اصلی این حمله سایبری نبوده است. “روزهای آینده وضوح و جزئیات بیشتر در مورد گسترش جهانی این نرم افزارهای جاسوسی به ارمغان خواهد آورد.”
این اکسپلویت APT بدون کلیک خود تخریب می شود
این بدافزار که حداقل چهار سال است مورد استفاده قرار میگیرد، در متون iMessage که فایل مخربی را ضمیمه میکرد که به طور خودکار از یک یا چند آسیبپذیری بدون نیاز به گیرنده برای انجام هیچ اقدامی سوء استفاده میکرد، تحویل داده شد. با آن، دستگاهها به چیزی آلوده شدند که محققان کسپرسکی آن را «پلتفرم APT با امکانات کامل» توصیف کردند. APT مخفف تهدید مداوم پیشرفته است و به عوامل تهدید با منابع تقریباً نامحدود اشاره دارد که افراد را در مدت زمان طولانی هدف قرار می دهند. APT ها تقریباً همیشه توسط دولت-ملت ها حمایت می شوند.
پس از نصب بدافزار APT، پیام متنی اولیه که زنجیره عفونت را شروع کرده بود، حذف شد. یوجین کسپرسکی در پست روز پنجشنبه نوشت:
این حمله با استفاده از یک iMessage نامرئی با یک پیوست مخرب انجام می شود که با استفاده از تعدادی آسیب پذیری در سیستم عامل iOS، روی دستگاه اجرا شده و نرم افزارهای جاسوسی را نصب می کند. استقرار نرم افزارهای جاسوسی کاملاً پنهان است و نیازی به هیچ اقدامی از جانب کاربر ندارد. علاوه بر این، این نرم افزار جاسوسی اطلاعات خصوصی را نیز بی سر و صدا به سرورهای راه دور منتقل می کند: ضبط های میکروفون، عکس ها از پیام رسان های فوری، موقعیت جغرافیایی و داده های مربوط به تعدادی دیگر از فعالیت های صاحب دستگاه آلوده.
این حمله تا حد امکان محتاطانه انجام می شود، با این حال، واقعیت آلودگی توسط پلتفرم نظارت و تجزیه و تحلیل یکپارچه Kaspersky (KUMA)، یک راه حل بومی SIEM برای مدیریت اطلاعات و رویدادها شناسایی شد. سیستم یک ناهنجاری را در شبکه ما شناسایی کرد که از دستگاههای اپل میآمد. بررسیهای بیشتر تیم ما نشان داد که چندین آیفون از کارمندان ما به یک جاسوسافزار جدید و بسیار پیشرفته که ما آن را «Triangulation» مینامیم، آلوده شدهاند.
عملیات Triangulation نام خود را به این دلیل گرفته است که این بدافزار از تکنیکی به نام اثر انگشت بوم برای کشف سخت افزار و نرم افزاری که یک گوشی مجهز شده است استفاده می کند. یوجین کسپرسکی گفت: در طول این فرآیند، بدافزار “مثلث زردی را در حافظه دستگاه ترسیم می کند.”
محققان کسپرسکی گفتند که اولین آثار عفونت های مثلثی به سال 2019 باز می گردد و از ژوئن 2023، حملات ادامه داشته است. آخرین نسخه iOS که با موفقیت هدف گذاری شده است 15.7 است که از ماه گذشته جاری بود. نه کسپرسکی و نه اپل به ایمیلهایی که از آنها میپرسیدند آسیبپذیری مورد سوء استفاده قرار گرفته است یا خیر پاسخ ندادند، یعنی نقصی که مهاجمان آن را میشناسند یا قبل از اینکه فروشنده اصلاح کند، عمومی میشود.
به گفته محققان کسپرسکی، مجموعه ابزار مخرب قادر به حفظ پایداری نیست، به این معنی که از راه اندازی مجدد دوام نمی آورد. آنها گفتند که زمان آلودگی در چندین دستگاه نشان می دهد که آنها به نوعی “پس از راه اندازی مجدد” مجددا آلوده شده اند. محققان توضیح بیشتری ندادند. این احتمال وجود دارد که در روزها یا هفته های آینده، این شرکت جزئیات فنی بیشتری در مورد بدافزار، اهداف کمپین و منشاء آن ارائه کند.
این اولین باری نیست که Kaspersky با موفقیت در یک کمپین APT به خطر می افتد. در سال 2014، این شرکت کشف کرد که بدافزار مخفی ماه ها قبل از شناسایی، شبکه آن را آلوده کرده است. در حالی که مهاجم برای پنهان کردن منشا عفونت تلاش می کرد، کسپرسکی گفت بدافزار در آن حمله نسخه به روز شده Duqu بود که در اواخر سال 2011 با کد مستقیماً مشتق شده از استاکس نت کشف شد. بعدها شواهد نشان داد که از دوقو برای جاسوسی از تلاشهای ایران برای تولید مواد هستهای و پیگیری روابط تجاری این کشور استفاده شده است.
یوجین کسپرسکی در پست روز پنجشنبه نوشت: “ما به خوبی می دانیم که در یک محیط بسیار تهاجمی کار می کنیم و روش های مناسب واکنش به حادثه را ایجاد کرده ایم.” به لطف اقدامات انجام شده، این شرکت به طور عادی کار می کند، فرآیندهای تجاری و داده های کاربر تحت تاثیر قرار نمی گیرند و تهدید خنثی شده است.