Статья TriangleDB, шпионский имплант кампании Triangulation

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.781
Репутация
11.595
Реакции
61.694
RUB
50
Мобильные телефоны все чаще становятся объектами внимания операторов APT. Рассказываем об очередном их инструменте.


Не так давно наши технологии выявили новую APT-атаку на мобильные телефоны iPhone. Атака была частью кампании, целью которой в числе прочих являлись и сотрудники «Лаборатории Касперского».

triangledb-mobile-apt-featured.jpg


Используя уязвимости в ядре системы, неизвестные злоумышленники разворачивали в памяти устройства шпионский имплант, получивший название TriangleDB. Нашим экспертам удалось тщательно изучить этот имплант.

Что умеет имплант TriangleDB?

Изучение импланта представляло определенную трудность, поскольку он работает исключительно в памяти телефона, не оставляя следов в системе. То есть перезагрузка полностью уничтожает все следы атаки. Кроме того, через 30 дней после заражения TriangleDB самоуничтожается (если не получает команды на продление работы от операторов).

Базовая функциональность импланта включает следующие возможности:

  • манипуляции с файлами (создание, модификация, удаление и эксфильтрация);
  • манипуляции с запущенными процессами (получение списка и их завершение);
  • эксфильтрация элементов связки ключей iOS (keychain), которые могут содержать учетные данные для разных сервисов, сертификаты и прочие ключи;
  • передача данных геопозиционирования, включая координаты, высоту, скорость и направление движения.

Помимо этого, имплант может загружать в память телефона и запускать дополнительные модули. Если вас интересуют технические детали импланта, то они подробно описаны в посте в блоге Securelist, ориентированном на экспертов по информационной безопасности.

APT-атаки на мобильные устройства

Еще не так давно основной целью APT-атак были преимущественно традиционные персональные компьютеры. Однако современные мобильные устройства не уступают в производительности и функциональности иному офисному ПК. Они все чаще используются для работы с критически важной для бизнеса информацией, хранят как личные, так и деловые секреты и могут служить ключами для доступа к рабочим сервисам.

Поэтому APT-группировки прикладывают особенные усилия для проведения атак на мобильные операционные системы.

Разумеется, Triangulation — это далеко не первая кампания, направленная на iOS-устройства. Все помнят нашумевшую (и, к сожалению, продолжающую шуметь) историю с использованием коммерческого шпионского ПО Pegasus. Были и другие примеры — INSOMNIA, Predator, Reign. Разумеется, интересуются злоумышленники и мобильной ОС Android.

Не так давно в новостях писали об атаке группировки Transparent Tribe, применявшей бэкдор CapraRAT против индийских и пакистанских пользователей этой системы. А в третьем квартале прошлого года мы обнаружили ранее неизвестное шпионское приложение, нацеленное на пользователей, говорящих на фарси.

Все это говорит о том, что для защиты современной компании от APT-атак необходимо обеспечивать безопасность не только стационарного оборудования — серверов и рабочих станций, — но и используемых в работе мобильных устройств.

Как повысить шансы против APT-атак на мобильные устройства

Не стоит считать, что для защиты мобильных устройств достаточно дефолтных защитных технологий, обеспечиваемых производителями устройств. История с Triangulation наглядно показывает, что даже технологии Apple не идеальны. Поэтому мы рекомендуем обязательно применять многоуровневую систему защиты, включающую тщательный контроль не только самих мобильных устройств, но и их сетевых взаимодействий.

Однако мобильные угрозы эволюционируют достаточно быстро, а их создатели прикладывают множество усилий для того, чтобы сделать их максимально незаметными. Поэтому для своевременного обнаружения вредоносной активности имеет смысл применять систему управления событиями и информацией о безопасности (SIEM).

 
  • Теги
    apt-атака ios-устройства iphone triangulation
  • Сверху Снизу