کسپرسکی می گوید مهاجمان آیفون های کارکنان را با بدافزار ناشناخته هک کردند

از

شرکت روسی امنیت سایبری کسپرسکی اعلام کرد هکرهایی که برای یک دولت کار می‌کنند، آیفون‌های چند ده کارمند را با بدافزار ناشناخته هدف قرار داده‌اند.

روز دوشنبه، Kaspersky حمله سایبری ادعایی را اعلام کرد و یک گزارش فنی در تحلیل آن منتشر کرد، جایی که این شرکت اذعان کرد که تجزیه و تحلیل آن هنوز کامل نشده است. این شرکت گفت که هکرها که در حال حاضر ناشناخته هستند، بدافزار را با یک اکسپلویت صفر کلیک از طریق یک پیوست iMessage تحویل دادند و همه رویدادها در بازه زمانی یک تا سه دقیقه ای اتفاق افتادند.

ساویر وان هورن، سخنگوی کسپرسکی، در ایمیلی که به TechCrunch ارسال شد، گفت که این شرکت تشخیص داده است که یکی از آسیب‌پذیری‌های مورد استفاده در این عملیات شناخته شده است و در دسامبر 2022 توسط اپل رفع شد، اما ممکن است قبل از اصلاح، همراه با آسیب‌پذیری‌های دیگر مورد سوء استفاده قرار گرفته باشد. . این سخنگو گفت: «اگرچه هیچ نشانه روشنی وجود ندارد که از همان آسیب‌پذیری‌ها قبلاً سوءاستفاده شده است، اما کاملاً ممکن است.

محققان کسپرسکی گفتند که هنگام نظارت بر شبکه وای فای شرکتی خود، متوجه «فعالیت مشکوکی که از چندین تلفن مبتنی بر iOS نشات می‌گرفت»، این حمله را کشف کردند. وان هورن گفت که این حملات سایبری «در ابتدای سال جاری» کشف شد.

این شرکت این هک ادعایی علیه کارمندان خود را «عملیات مثلث‌سازی» نامید و یک لوگو برای آن ایجاد کرد.

اپل به درخواست اظهار نظر پاسخ نداد.

محققان کسپرسکی گفتند که پشتیبان‌گیری آفلاین از آیفون‌های مورد نظر ایجاد کرده‌اند و آنها را با ابزاری به نام Mobile Verification Toolkit یا MVT که توسط عفو بین‌الملل توسعه داده شده است، بررسی کرده‌اند که به آن‌ها اجازه می‌دهد «ردی از مصالحه» را کشف کنند. محققان نگفتند چه زمانی این حمله را کشف کردند و گفتند که آثاری از آن به سال 2019 برمی‌گردد و «حمله ادامه دارد و جدیدترین نسخه دستگاه‌هایی که با موفقیت هدف قرار گرفته‌اند iOS 15.7 است».

در حالی که این بدافزار برای پاکسازی دستگاه‌های آلوده و حذف آثاری از خود طراحی شده بود، محققان نوشتند: «می‌توان به‌طور قابل اعتمادی تشخیص داد که آیا دستگاه به خطر افتاده است یا خیر».

در این گزارش، محققان گام به گام نحوه تجزیه و تحلیل دستگاه‌های آسیب‌دیده را توضیح دادند و توضیح دادند که چگونه دیگران می‌توانند همین کار را انجام دهند. با این حال، آنها جزئیات زیادی از آنچه که با استفاده از این فرآیند پیدا کردند را شامل نشدند.

محققان گفتند که وجود «خطوط استفاده از داده‌ها که فرآیندی به نام «BackupAgent» را ذکر می‌کند، قابل‌اعتمادترین نشانه هک شدن یک آیفون است و یکی دیگر از نشانه‌ها این است که آیفون‌های در معرض خطر نمی‌توانند به‌روزرسانی‌های iOS را نصب کنند.

ما مشاهده کردیم که تلاش‌های به‌روزرسانی با پیام خطا به‌روزرسانی نرم‌افزار انجام نشد. در دانلود iOS خطایی روی داد.

این شرکت همچنین مجموعه‌ای از URLهایی را منتشر کرد که در این عملیات مورد استفاده قرار گرفتند، از جمله برخی از آنها با نام‌هایی مانند Unlimited Teacup و Backup Rabbit.

تیم واکنش اضطراری رایانه‌ای روسیه (CERT)، یک سازمان دولتی که اطلاعات حملات سایبری را به اشتراک می‌گذارد، توصیه‌ای درباره این حمله سایبری به همراه همان دامنه‌هایی که توسط کسپرسکی ذکر شده منتشر کرد.

بر اساس ترجمه آنلاین، سرویس امنیت فدرال روسیه (FSB) در بیانیه‌ای جداگانه، اطلاعات ایالات متحده – به ویژه NSA را به هک کردن «هزاران» تلفن‌های اپل با هدف جاسوسی از دیپلمات‌های روسی متهم کرد. FSB همچنین اپل را به همکاری با اطلاعات آمریکا متهم کرد. FSB مدرکی برای ادعاهای خود ارائه نکرد.

NSA فورا به درخواست برای اظهار نظر پاسخ نداد.

شرح FSB از حملات همان چیزی است که کسپرسکی در گزارش خود نوشته است، اما مشخص نیست که آیا این دو عملیات به هم مرتبط هستند یا خیر.

وان هورن گفت: «اگرچه ما جزئیات فنی در مورد آنچه توسط FSB تاکنون گزارش شده است نداریم، مرکز ملی هماهنگی حوادث رایانه ای روسیه (NCCCI) قبلاً در هشدار عمومی خود اعلام کرده است که شاخص های سازش یکسان است. .

همچنین، این شرکت از نسبت دادن این عملیات به دولت یا گروه هکر خودداری کرد و گفت: «کسپرسکی اسناد سیاسی انجام نمی‌دهد».

“ما جزئیات فنی در مورد آنچه توسط FSB تاکنون گزارش شده است نداریم، از این رو نمی توانیم هیچ گونه انتساب فنی را انجام دهیم. با قضاوت بر اساس ویژگی‌های حمله سایبری، ما نمی‌توانیم این کمپین جاسوسی سایبری را به هیچ عامل تهدید موجود مرتبط کنیم.»

بنیانگذار این شرکت، یوجین کسپرسکی، در توییتر نوشت که آنها “کاملاً مطمئن هستند که کسپرسکی هدف اصلی این حمله سایبری نبوده است”، در حالی که قول “روشن بودن و جزئیات بیشتر” در روزهای آینده را داد.

این اولین بار نیست که هکرها کسپرسکی را هدف قرار می دهند. در سال 2015، این شرکت اعلام کرد که یک گروه هکر دولتی با استفاده از بدافزاری که گمان می‌رود توسط جاسوسان اسرائیلی ساخته شده است، شبکه آن را هک کرده است.

با جزئیات بیشتر از Kaspersky به روز شد.

آیا اطلاعات بیشتری در مورد این حملات سایبری دارید؟ ما از اینکه ازت خبر داشته باشیم خوشحال میشویم. می‌توانید با Lorenzo Franceschi-Bicchierai به‌طور ایمن از طریق Signal به شماره 1 917 257 1382 +1 یا از طریق Wickr، Telegram and Wire @lorenzofb یا ایمیل [email protected] تماس بگیرید. همچنین می توانید از طریق SecureDrop با TechCrunch تماس بگیرید.