Эксперты "Лаборатории Касперского" выяснили, как кибершпионы собирали данные жертв в ходе целевой атаки на устройства Apple, злоумышленники применили специальный шпионский имплант TriangleDB, работающий в памяти устройства. Об этом рассказали журналистам в пресс-службе "Лаборатории Касперского".
"Эксперты "Лаборатории Касперского" выяснили, как атакующие собирали данные жертв в ходе кампании "Операция Триангуляция". Для этого они использовали шпионский имплант, получивший название TriangleDB. Это вредоносное ПО предоставляет злоумышленникам возможности скрытого наблюдения и работает исключительно в памяти устройства, поэтому все следы его работы удаляются при перезагрузке устройства", - сообщили в пресс-службе.
Имплант внедряется после успешной эксплуатации уязвимости ядра для получения привилегий суперпользователя на устройстве на iOS, пояснили в компании. Если жертва перезагружает устройство, злоумышленнику нужно заново заразить его, отправив новый iMessage с вредоносным вложением. Если перезагрузка не произойдет, имплант автоматически удалится через 30 дней, если злоумышленники не продлят этот срок.
Всего имплант может выполнять 24 команды, добавили в "Лаборатории Касперского". Они позволяют злоумышленникам создавать, менять, красть и удалять файлы с телефона, управлять процессами на смартфоне, извлекать элементы связки ключей для сбора учетных данных и вести мониторинг геолокации жертвы.
Также, по данным экспертов компании, аналогичный имплант потенциально может использоваться в атаках на устройства на macOS.
Чтобы минимизировать риски целевых кибератак, "Лаборатория Касперского" рекомендует компаниям использовать защитное решение, обновлять операционную систему и любое стороннее ПО, предоставлять специалистам актуальную информацию о киберугрозах и проводить тренинги по кибербезопасности для сотрудников компании.
О кибератаке на пользователей устройств Apple
В конце мая Центр общественных связей ФСБ России сообщил о вскрытии службой разведывательной акции США через программу-вирус на мобильных устройствах Apple. Установлено, что заражению подверглись несколько тысяч телефонных аппаратов этой марки.
Служба также выявила аномалии, характерные только для мобильных телефонов Apple и обусловленные работой ранее неизвестного вредоносного программного обеспечения.
1 июня CEO "Лаборатории Касперского" Евгений Касперский сообщил, что компания обнаружила целевую кибератаку, проводящуюся с помощью мобильных устройств производства корпорации Apple. Он отметил, что несколько десятков iPhone сотрудников компании оказались заражены шпионским ПО, действенного способа удалить которое еще не найдено.