Эксперты «Лаборатории Касперского» выяснили, каким образом осуществлялся сбор данных в рамках шпионской кампании Operation Triangulation. Как оказалось, с этой целью авторы точечных атак использовали имплант для iPhone, условно названный TriangleDB.
Вредонос предоставляет возможность наблюдения и работает исключительно в памяти устройства, то есть все следы заражения удаляются после перезагрузки. Внедрение TriangleDB происходит после успешной эксплуатации уязвимости ядра, позволяющей получить привилегии суперпользователя в системе.
Если жертва перезагружает устройство, злоумышленникам приходится повторить атаку, отправив iMessage с вредоносным вложением. В противном случае имплант автоматически удалится через 30 дней (срок может быть продлен по желанию оператора).
Анализ показал, что TriangleDB обладает множеством функций по сбору данных и мониторингу; его список команд содержит 24 позиции. Широкие возможности зловреда позволяют ему выполнять, к примеру, такие задачи:
- отслеживать местоположение жертвы;
- перечислять запущенные процессы, принудительно завершать их;
- извлекать элементы связки ключей;
- создавать, изменять и удалять файлы.
Аналитики также обнаружили артефакт, свидетельствующий о возможности аналогичных атак на macOS.
Минимизировать риск целевых атак на корпоративные сети помогут следующие рекомендации Kaspersky:
- Для обнаружения, расследования и своевременного устранения инцидентов на уровне конечных точек используйте надёжное защитное решение для бизнеса, такое как KUMA.
- Оперативно и регулярно обновляйте Windows и стороннее программное обеспечение.
- Предоставьте вашей SOC-команде доступ к актуальной информации об угрозах (threat intelligence).
- Поскольку многие целевые атаки начинаются с фишинга или других методов социальной инженерии, проводите тренинги по безопасности.
