Если кому-то интересны подробности.
Всем привет,
Сегодня у нас очень большая и важная новость.
Экспертами нашей компании была обнаружена крайне сложная, профессиональная целевая кибератака с использованием мобильных устройств производства Apple. Целью атаки было незаметное внедрение шпионского модуля в iPhone сотрудников компании — как топ-менеджмента, так и руководителей среднего звена.
Атака проводится при помощи невидимого iMessage-сообщения с вредоносным вложением, которое, используя ряд уязвимостей в операционной системе iOS, исполняется на устройстве и устанавливает шпионскую программу. Внедрение программы происходит абсолютно скрытно от пользователя и без какого-либо его участия. Далее шпионская программа так же незаметно передаёт на удалённые серверы приватную информацию: записи с микрофона, фотографии из мессенджеров, местоположение и сведения о ряде других активностей владельца заражённого устройства.
Атака проводится максимально скрытно, однако факт заражения был обнаружен нашей системой мониторинга и анализа сетевых событий KUMA. Система выявила в нашей сети аномалию, исходящую с Apple устройств. Дальнейшее расследование показало, что несколько десятков iPhone наших сотрудников оказались заражены новой, чрезвычайно технологически сложной шпионской программой, получившей название Triangulation («Триангуляция»).
Свернуть
По причине закрытости в iOS не существует (и не может существовать) каких-либо стандартных средств операционной системы для выявления и удаления этой шпионской программы на заражённых смартфонах. Для этого необходимо прибегать к внешним инструментам.
Косвенным признаком присутствия Triangulation на устройстве является блокировка возможности обновления iOS. Для более точного распознавания заражения потребуется снять резервную копию устройства и проверить её специальной бесплатной утилитой (которую мы позже опубликуем на GitHub). Более подробные рекомендации изложены в технической статье на нашем блоге Securelist.
Из-за особенностей блокировки обновления iOS на заражённых устройствах нами пока не найдено действенного способа удаления шпионской программы без потери пользовательских данных. Это можно сделать только при помощи сброса зараженного iPhone до заводских настроек, установки последней версии операционной системы и всего окружения пользователя с нуля. Иначе, даже будучи удалённым из памяти устройства перезагрузкой, троянец-шпион Triangulation способен провести повторное заражение через уязвимости в устаревшей версии iOS.
Расследование шпионской операции Triangulation только начинается. Сегодня мы публикуем первые результаты анализа, но впереди ещё много работы. По ходу расследования инцидента мы будем обновлять эту страницу и подведём черту проделанной работе на международной конференции Security Analyst Summit в октябре (следите за новостями на сайте).
Мы уверены, что наша компания не была главной целью этой шпионской операции. Надеемся, что уже в ближайшие дни мы получим статистику распространения «троянского треугольника» в других странах и регионах.
Мы считаем, что главной причиной этого инцидента является закрытость iOS. Данная операционная система является «чёрным ящиком», в котором годами могут скрываться шпионские программы подобные Triangulation. Обнаружение и анализ таких угроз осложняется монополизацией Apple исследовательских инструментов, что создаёт для шпионских программ идеальное убежище. Иными словами, как я уже не раз говорил, у пользователей создаётся иллюзия безопасности, связанная с полной непрозрачностью системы. Что на самом деле происходит в iOS, специалистам по IT-безопасности неизвестно. Отсутствие новостей об атаках отнюдь не свидетельствует о невозможности самих атак — в чём мы только что убедились.
Хочется напомнить, что это не первый случай целевой атаки против нашей компании. Мы прекрасно понимаем, что работаем в очень агрессивном окружении и выработали соответствующие процедуры реагирования. Благодаря принятым мерам, компания работает в штатном режиме, бизнес-процессы и пользовательские данные не затронуты, угроза нейтрализована. Мы продолжаем защищать вас, как всегда.
P.S. А причём здесь триангуляция?
Для распознавания программной и аппаратной спецификации атакуемой системы Triangulation использует технологию Canvas Fingerprinting и рисует в памяти устройства жёлтый треугольник.
Комментарии
Странные тезис
Это, пожалуй, признание в собственной профнепригодности «Лаборатории Касперского»
Ну да, полная профнепригодность. Только закладку и смогли обнаружить. А тебе слабо?
Я тоже сижу обалдеваю от "откровений". И да, прям такая неожиданность, что смартфоны используются как шпионская аппаратура. Кто бы мог подумать такое? Кстати, а почему только яблоко, что гнусмас так не используется, не? И вообще, зачем тогда в кабинетах для совещаний глушилки устанавливали ещё задолго до СВО? Короче говоря, яблоку действительно пора на выход, но насколько к этому готовы сами профессионалы, вызывает вопросы.
Новость тут не в том, что это подозревали, а в том что доказали.
Если вы или кто-либо ранее смогли это доказать, дайте ссыль, почитаем.
СоветникЪ ишшо в марте (2023) постил новость:
Сотрудников администрации президента попросили…избавиться от iPhone
Ннада понимать, шо мы такие дождались подробностей о ТОМ решении.. .
цЫтатко:
На гнусмас хотя бы свободные прошивки нормально шьются. К ним тоже могут быть вопросы, но их исходники хотя бы открыты а для относительно важных дядек не составет труда нанять специально обученных людей, которые проведут аудит кода и соберут прошивку. А совсем важные дяди и тёти вообще не должны быть похожи на абонентов.
https://youtu.be/0ls9ZM3dBB4?t=40
Очень плохо то, что дяди не знакомы с выводом руководства господина Фокса: освоить на аудите того кода практически произвольные бюджеты — не проблема (особенно с учётом последних тенденций в разработке).
Но вот дураков подписаться за результат не найдут (смотрите условия лицензионного «соглашения» того же касперского).
А можно по другому сделать. Платить за найденные уязвимости/бэкдоры хорошие деньги.
Историю появления «индусского кода» помните?
В пакете с решением проблемы в мире майкросовт.
Ваше утверждение не менее странное.
Взять и раскрыть всему свету козырь, что iOs расковыряли. Это только мое предположение. Тем более это в штатах под запретом. А у каспа там были филиалы. То есть подставляться по конские штрафы и уголовное преследование.
Судя по новости ос никто не ковырял. Только выловили червя несмотря на очевидные сложности из-за закрытости ос
Чуть выше я дал ссылку на мартовскую новость о запрете в АП РФ на айфоны с 1 апреля 2023. Совпадение?!
Только не думать о жолтом треугольнике!!!:))
ознакомился, интересно, спасибо.
У меня Сяоми, пусть китайцы слушают и читают, узнают для себя много новых слов))
Один знакомый чекист жаловался, что им запрещают использовать яблофоны.
На самом деле если андроид, и есть гугл, то всё то же самое. Кноплчники наше всё.
Врет знакомый. Или мои знакомые нарушают. Впрочем, на работе там много где даже кнопочные не разрешены.
Нормальному мужчине подносить к голове,ко рту то,что сделано исходя из чаяний и мечт Тимкуковцев
. Как не противно вообще?
Увы.
Кнопочные уже давно тоже двигают на платформу андройеда.
Если Интернет не подключать, то безопасно.
Американцы опять шпионят. Как жить, баб Шур? ©
Что значит "рисует в памяти треугольник"? Это как, о чем вообще речь?
Неужели тот самый треугольник, жёлтыми прозрачными параллельными линиями? И котёнок ещё?
емнип, линии были красные, все взаимно-перпендикулярные в количестве 7 штук.
С желтого треугольника в памяти тоже поржал...
PS Касперский - наркоманы и говноделы.
Использую safekids и антивирь (купил сдуру как СВО началась).
У первой интерфейс - жутконеудобное говно, плюс ему похрен на таймзоны (все же знают, что в РФ только одна таймзона GMT+3). Плюс дети как-то обходят блокировки.
В антивирусе мало того, что добавление в исключения сделано через жопу (не галочкой ткнуть на обнаруженную угрозу, а запомнить путь, зайти в отдельное меню, пройтись по пути... в общем жуткий трудоемкий гемор) так оно еще и в принципе не работает. СОВСЕМ! Каким бы способом ты не добавлял кмс (к примеру) в исключения - он будет удален без вариантов. Обходится только отключением мониторинга на момент использования.
Саппорт - невменяемый. Писал про таймзону, про исключения даже видос снял, как мне EICAR сносят. Всем похрен.
Подозреваю, что и кума у них такая же... Хоть и поют в рекламе дифирамбы.
С учётом того, что они на своём сайте больше Вечности не могут асилить правильного описания процесса установки поделия на типо «поддерживаемую» платформу…
ЗЫ: Детей надо *не* ограничивать, а *учить*.
Лучшие игрушки: gcc, gdb…
Поставят *сами* линукс (из тех, у которых программа автоматической установки отсутствует как класс, да без новодельных упрощений) — можно считать, что прошли экзамен на выход в мир, свободный от вредоносного ПО лаборатории касперского.
Интересно, сколько людей сделают дамп своего телефона и отдадут его неизвестной утилите?
Интересно, сколько подобных фейковых утилит появится.
кто не понял - это было сообщение от лаборатории касперского.
фраза
мне напомнила моего бывшего IT директора, который чувствуя, что база его разработки вот-вот рухнет по причине отсутствия обозначенных через constraints внешних ключей и общей ненормализованности, продвигал начальству (собственнику компании) наш серверный лог с присутствием какого-то китайского сканера портов как хакерскую атаку.
Интересному бэкдору, работающему в операционных системах Linux и известному под именем Bvp47, удавалось десять лет уходить от детектирования.
Источник: https://www.anti-malware.ru/news/2022-02-24-111332/38233
Халяль/кошер/православненько!
Уже лет 20 ржу от малограмотных недоумков, кричащих "виндовс отстой, даешь линукс!"© Они простейших вещей в линухе не знают/умеют, но рассуждают о его полной безопасности. Хакеры, кстати, тоже любят линух, но по каким-то другим причинам.. .
Зря.
Потому что именно «малограмотные недоумки» и удовлетворяют платёжеспособный спрос на такие вот «открытия» уязвимостей (смотри прекрасный комментарий ниже).
Вспомни характеристику таких вот профи:
Я не ставлю под сомнение квалификацию и мнения профессионалов. Всё нуждается в квалифицированной настройке, мониторинге/сопровождении и обновлениях. Просто я помню что не настроенный должным образом сервак под линухом, это решето порою даже подырявее винды. Почитывал я "профильные" ресурсы/журналы (когда был помоложе) - и под виндой, и под линухом (да под любой ОС) нужны знания и умения. Позиция "априорной безопасности" в IT-сфере - позиция идиота, который "с голой жопой" полез в ночные джунгли полные голодных хищников.
А зря.
Потому что при ближайшем рассмотрении «мнений профессионалов» часто, если не обычно всплывает множество интересного (вспоминая периодически наблюдаемые подвиги одного профессионала поддержки *сертифицированного* товарного СКЗИ).
Позиция «априорной безопасности» — это специально сформулированный и старательно набрасываемый абсурд.
Аналогичный по своей сути проекту НХ.
С практически идентичной целью (оправдания делегирования задачи обеспечения безопасности толпе аутсорсеров, с ответственностью прописанной в лицензионном «соглашении»).
Именно в настройке по умолчанию всё достаточно неплохо. Не «всего две дыры за двадцать с лишним лет» (OpenBSD), но сравнимо. Впрочем, у Microsoft после XP тоже сравнимо (сетевой экран включён, доверия сетевой карте нет).
Реальная защищённость Линукса не столько от встроенных характеристик, сколько от отсутствия привычки запускать полученный по электронной почте бинарник. С другой стороны, уже достаточно часто встречается предложение ставить программы с сайта, причём как-то так: curl -sf -L https://static.rust-lang.org/rustup.sh | sudo sh. Понятно, что безопасность при этом практически отсутствует, а если ещё и у администратора сайта такое же отношение к ней, как и у пользователей, то только вопрос времени, когда этот скрипт будет подменён на что-то полезное взломщику.
Скандал с патчиком к openssl в OpenBSD в список входит?
ЗЫ: И точно также провалы в образовании разработчиков компенсируются сформированной мелкомягкими модой на компоновку программ в блобы, не требующие установки.
А как же прошлогоднее автоматическое обновление с подарками от украинских программистов?
Так это обновление было к какой-то левой приблуде, не к части операционной системы.
Мда.. . Сколько всего интересного, оказывается, я пропустил... СкуШно живу!
Определите понятие «часть операционной системы».
ЗЫ: С некоторой задержкой проявились и другие примеры. Но о них знают не только лишь все.
Ну как же можно обойтись без вбрасывания сообщения об «уязвимостях» в СПО?..
Никак.
Причём можно не глядя предсказать, что авторы наброса не опустились до *выводов* из истории, когда Торвальдс рисовал патч в ядро для того, чтобы «найденный» вирус мог запускаться.
Хотя, надо признаться, политики (и инвестиции) профессоналов, выведенных для проприетарных платформ усугубляют ситуацию.
"Профессионалы" статью писали. У них Linux оказывается равен FreeBSD и Solaris.
А это вапче шедевр:
Повершелл у них в каждом линуксе.
Вангую, они столь же произвольно переносят особенности ОС (в части дырявых *неотключаемых* (!!!) «служб» и особенностей файрволла) с единственной известной винды.
А сколько открытий чудных им обещает встреча с RSBAC…
У линуксов тоже есть неотключаемые дырявые службы. Например, systemd.
Да?
Отличия знаете?
Например у меня systemd нет.
Плюс вопросы особенностей сборки.
И далее смотрите ссылку об особенностях мотивации проприетарных инвестиций в разработку СПО…
Короче: осваивать бюджеты на тестировании блобов можно до бесконечности.
ЗЫ: Отдельно, особо и сугубо доставляетЪ дисциплина использования латиницы при заполнении сертификата.
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
Вообще странно, что специалисты, которые в курсе таких вот дел, используют смарты, которые и подвержены атакам, а не что-то более безопасное. Хотя, конечно, любой аппарат нынче уязвим, но наверняка есть какой-то выход.
Димону подняли веки?
Хотя лучше его не будить, иначе опять будет бомбить..
Сеть это зло. Любой смартфон - шпион, сотовый - шпион. Но как жить без них?
Хрестоматийная дилемма: удобство vs безопасность.
ЗЫ: Отдельно, особо и сугубо предлагаю заценить дисциплину, с которой профессионалы от типо ИБ (а по факту — обычные продаваны вредоносного ПО) не упоминают фундаментальных принципов (главного правила построения ОС).
Страницы