俄罗斯联邦安全局、国家CERT、卡巴斯基昨日分别发布消息,披露了一起针对俄iPhone用户的网络间谍事件;
卡巴斯基报告称,未知攻击者利用苹果零日漏洞,在员工iPhone上安装远控软件,莫斯科及多国分部员工均受影响,并公开了多个IoC信息;
俄联邦安全局公告称,美国情报部门利用苹果提供的漏洞监控了数千台iPhone设备,受害者包括俄罗斯公民,以色列、中国及多个北约成员国外交人员;
俄罗斯CERT发布警报,将这两份报告归并为一起事件。
前情回顾·抓住美国网络攻击的马脚
安全内参6月2日消息,俄罗斯网络安全公司卡巴斯基披露,内部网络上有一些iPhone遭到黑客利用零日漏洞入侵,攻击者使用iMessage零点击漏洞安装了恶意软件。
苹果iMessage收发消息时存在一个漏洞,无需任何用户交互就能执行任意代码,攻击者可借此远程下载安装其他恶意软件。
随后,发送的消息和附件都被从设备中擦除,但有效载荷继续保留在后台,以root权限运行,收集系统和用户信息并执行攻击者发出的命令。
卡巴斯基表示,这一行为开始于2019年,攻击活动当前仍在继续。卡巴斯基将其命名为“Operation Triangulation”,并号召更多知情人士分享相关信息。
卡巴斯基分析恶意软件
由于无法直接在设备上对iOS系统做分析,卡巴斯基使用移动设备验证工具包MVT为受感染iPhone创建了文件系统备份,旨在还原攻击过程和恶意软件软件的功能信息。
虽然该恶意软件试图从设备上删除攻击痕迹,但仍有部分感染迹象会被保留下来,例如通过修改系统文件阻止iOS安装更新、异常数据使用、注入已被弃用的库等。
分析显示,感染的最初迹象出现在2019年,当时被该恶意软件工具集感染的最新iOS版本为15.7。
图:恶意加密附件
请注意,目前iOS版本已升级至16.5,可能已经修复了恶意软件攻击所利用的漏洞。
受害者的iMessage收到漏洞利用消息,将触发iOS中某个未知漏洞以执行代码,进而从攻击者的服务器获取后续操作,包括权限提升漏洞。
卡巴斯基公司发布了与该恶意活动相关的15个域名,企业安全人员可以使用这份清单检查历史DNS日志,查找内部设备是否存在被利用的迹象。
图:攻击的网络利用序列
在获得root权限升级后,恶意软件会下载一套功能齐全的工具集,该工具集可执行收集系统和用户信息、从C2下载其他模块的命令。
卡巴斯基指出,被投放到设备上的APT工具集缺乏持久性机制,因此重启系统就可以有效阻止。
目前仅公开了该恶意软件的部分功能细节,对最终有效载荷的分析仍在进行当中。
俄罗斯情报部门指责NSA发动攻击
同日,俄罗斯情报与安全部门联邦安全局(FSB)也发布声明,称苹果公司故意向美国国家安全局提供后门,用来在俄国内iPhone上传播间谍软件。
俄联邦安全局指出,它已经发现数千部感染了恶意软件的苹果iPhone设备,这些手机的使用者包括俄罗斯政府官员,以及以色列、中国与几个北约成员国驻俄罗斯大使馆的工作人员。
尽管指控内容相当严重,但联邦安全局没有提供任何实质性证据。
俄罗斯政府此前曾建议,所有中央政府成员和机构雇员停止使用苹果iPhone,并在可能的情况下彻底弃用美国制造的技术产品。
卡巴斯基表示,此次攻击还影响到其莫斯科总部及其他多国的员工。尽管如此,卡巴斯基称尚无法证明当前发现与联邦安全局报告之间的联系,因为他们没有看到政府调查的技术细节。
不过在同一天,俄罗斯计算机应急响应小组(RU-CERT)发布警报,将联邦安全局的声明同卡巴斯基的报告关联了起来。
苹果公司回应称,卡巴斯基并未表示发现的漏洞会对iOS 15.7之后的版本有效,当前的苹果iPhone系统版本为16.5。
美国国家安全局拒绝就此事发表评论。
参考资料:https://www.bleepingcomputer.com/news/security/russia-says-us-hacked-thousands-of-iphones-in-ios-zero-click-attacks/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
