Цивилизация
В процессе мониторинга собственной корпоративной Wi-Fi сети с помощью SIEM-системы KUMA эксперты «Лаборатории Касперского» обнаружили подозрительную активность нескольких iOS-устройств. Об этом сообщается на сайте компании.
«Были обнаружены следы компрометации устройств ранее неизвестной вредоносной программой. Мы назвали эту вредоносную кампанию «Операция Триангуляция» (Operation Triangulation)», — говорится в сообщении.
Как рассказали в компании, резервная копия iTunes содержит часть файловой системы устройства, включая данные пользователя и служебные базы данных.
«Используя временные метки файлов, папок, и некоторых записей баз данных, можно восстановить примерную последовательность событий, происходящих на устройстве. Утилита mvt-ios сохраняет эту последовательность в файл «timeline.csv», напоминающий по формату super-timeline, который часто используют для исследования файловых систем обычных компьютеров», — говорится в сообщении.
При это, по словам специалистов, анализ последовательностей событий зараженных устройств позволил выделить события, специфичные для момента компрометации. Так, сначала заражаемое iOS-устройство получает сообщение iMessage со специальным вложением, содержащим эксплойт. Далее без какого-либо взаимодействия с пользователем, эксплойт из сообщения вызывает выполнение вредоносного кода. После указанный код соединяется с сервером управления и приводит к последовательной загрузке нескольких «ступеней» вредоносной программы. Кроме того, после успешной отработки всех вредоносных компонентов, загружается конечная вредоносная нагрузка – полноценная APT-платформа. При этом сообщение и вложение с эксплойтом удаляются в процессе заражения.
В «Лаборатории Касперского» уточнили, что анализ вредоносной платформы продолжается. На данный момент известно, что она выполняется с привилегиями суперпользователя, реализует набор команд для сбора информации о пользователе и системе, а также позволяет исполнять произвольный код в виде плагинов, переданных с сервера управления.