شرکت روسی امنیت سایبری کسپرسکی اعلام کرد هکرهایی که برای یک دولت کار میکنند، آیفونهای چند ده کارمند را با بدافزار ناشناخته هدف قرار دادهاند.
روز دوشنبه، Kaspersky حمله سایبری ادعایی را اعلام کرد و یک گزارش فنی در تحلیل آن منتشر کرد، جایی که این شرکت اذعان کرد که تجزیه و تحلیل آن هنوز کامل نشده است. این شرکت گفت که هکرها که در حال حاضر ناشناخته هستند، بدافزار را با یک اکسپلویت صفر کلیک از طریق یک پیوست iMessage تحویل دادند و همه رویدادها در بازه زمانی یک تا سه دقیقه ای اتفاق افتادند.
ساویر وان هورن، سخنگوی کسپرسکی، در ایمیلی که به TechCrunch ارسال شد، گفت که این شرکت تشخیص داده است که یکی از آسیبپذیریهای مورد استفاده در این عملیات شناخته شده است و در دسامبر 2022 توسط اپل رفع شد، اما ممکن است قبل از اصلاح، همراه با آسیبپذیریهای دیگر مورد سوء استفاده قرار گرفته باشد. . این سخنگو گفت: «اگرچه هیچ نشانه روشنی وجود ندارد که از همان آسیبپذیریها قبلاً سوءاستفاده شده است، اما کاملاً ممکن است.
محققان کسپرسکی گفتند که هنگام نظارت بر شبکه وای فای شرکتی خود، متوجه «فعالیت مشکوکی که از چندین تلفن مبتنی بر iOS نشات میگرفت»، این حمله را کشف کردند. وان هورن گفت که این حملات سایبری «در ابتدای سال جاری» کشف شد.
این شرکت این هک ادعایی علیه کارمندان خود را «عملیات مثلثسازی» نامید و یک لوگو برای آن ایجاد کرد.
اپل به درخواست اظهار نظر پاسخ نداد.
محققان کسپرسکی گفتند که پشتیبانگیری آفلاین از آیفونهای مورد نظر ایجاد کردهاند و آنها را با ابزاری به نام Mobile Verification Toolkit یا MVT که توسط عفو بینالملل توسعه داده شده است، بررسی کردهاند که به آنها اجازه میدهد «ردی از مصالحه» را کشف کنند. محققان نگفتند چه زمانی این حمله را کشف کردند و گفتند که آثاری از آن به سال 2019 برمیگردد و «حمله ادامه دارد و جدیدترین نسخه دستگاههایی که با موفقیت هدف قرار گرفتهاند iOS 15.7 است».
در حالی که این بدافزار برای پاکسازی دستگاههای آلوده و حذف آثاری از خود طراحی شده بود، محققان نوشتند: «میتوان بهطور قابل اعتمادی تشخیص داد که آیا دستگاه به خطر افتاده است یا خیر».
در این گزارش، محققان گام به گام نحوه تجزیه و تحلیل دستگاههای آسیبدیده را توضیح دادند و توضیح دادند که چگونه دیگران میتوانند همین کار را انجام دهند. با این حال، آنها جزئیات زیادی از آنچه که با استفاده از این فرآیند پیدا کردند را شامل نشدند.
محققان گفتند که وجود «خطوط استفاده از دادهها که فرآیندی به نام «BackupAgent» را ذکر میکند، قابلاعتمادترین نشانه هک شدن یک آیفون است و یکی دیگر از نشانهها این است که آیفونهای در معرض خطر نمیتوانند بهروزرسانیهای iOS را نصب کنند.
ما مشاهده کردیم که تلاشهای بهروزرسانی با پیام خطا بهروزرسانی نرمافزار انجام نشد. در دانلود iOS خطایی روی داد.
این شرکت همچنین مجموعهای از URLهایی را منتشر کرد که در این عملیات مورد استفاده قرار گرفتند، از جمله برخی از آنها با نامهایی مانند Unlimited Teacup و Backup Rabbit.
تیم واکنش اضطراری رایانهای روسیه (CERT)، یک سازمان دولتی که اطلاعات حملات سایبری را به اشتراک میگذارد، توصیهای درباره این حمله سایبری به همراه همان دامنههایی که توسط کسپرسکی ذکر شده منتشر کرد.
بر اساس ترجمه آنلاین، سرویس امنیت فدرال روسیه (FSB) در بیانیهای جداگانه، اطلاعات ایالات متحده – به ویژه NSA را به هک کردن «هزاران» تلفنهای اپل با هدف جاسوسی از دیپلماتهای روسی متهم کرد. FSB همچنین اپل را به همکاری با اطلاعات آمریکا متهم کرد. FSB مدرکی برای ادعاهای خود ارائه نکرد.
NSA فورا به درخواست برای اظهار نظر پاسخ نداد.
شرح FSB از حملات همان چیزی است که کسپرسکی در گزارش خود نوشته است، اما مشخص نیست که آیا این دو عملیات به هم مرتبط هستند یا خیر.
وان هورن گفت: «اگرچه ما جزئیات فنی در مورد آنچه توسط FSB تاکنون گزارش شده است نداریم، مرکز ملی هماهنگی حوادث رایانه ای روسیه (NCCCI) قبلاً در هشدار عمومی خود اعلام کرده است که شاخص های سازش یکسان است. .
همچنین، این شرکت از نسبت دادن این عملیات به دولت یا گروه هکر خودداری کرد و گفت: «کسپرسکی اسناد سیاسی انجام نمیدهد».
“ما جزئیات فنی در مورد آنچه توسط FSB تاکنون گزارش شده است نداریم، از این رو نمی توانیم هیچ گونه انتساب فنی را انجام دهیم. با قضاوت بر اساس ویژگیهای حمله سایبری، ما نمیتوانیم این کمپین جاسوسی سایبری را به هیچ عامل تهدید موجود مرتبط کنیم.»
بنیانگذار این شرکت، یوجین کسپرسکی، در توییتر نوشت که آنها “کاملاً مطمئن هستند که کسپرسکی هدف اصلی این حمله سایبری نبوده است”، در حالی که قول “روشن بودن و جزئیات بیشتر” در روزهای آینده را داد.
این اولین بار نیست که هکرها کسپرسکی را هدف قرار می دهند. در سال 2015، این شرکت اعلام کرد که یک گروه هکر دولتی با استفاده از بدافزاری که گمان میرود توسط جاسوسان اسرائیلی ساخته شده است، شبکه آن را هک کرده است.
با جزئیات بیشتر از Kaspersky به روز شد.
آیا اطلاعات بیشتری در مورد این حملات سایبری دارید؟ ما از اینکه ازت خبر داشته باشیم خوشحال میشویم. میتوانید با Lorenzo Franceschi-Bicchierai بهطور ایمن از طریق Signal به شماره 1 917 257 1382 +1 یا از طریق Wickr، Telegram and Wire @lorenzofb یا ایمیل [email protected] تماس بگیرید. همچنین می توانید از طریق SecureDrop با TechCrunch تماس بگیرید.