بعد صدور التقرير عن حملة “عملية المثلثات” التي تستهدف أجهزة iOS ، قام خبراء كاسبرسكي بتسليط الضوء على التفاصيل المتعلقة بزرع برامج التجسس المستخدمة أثناء الهجمات. تمنح الغرسة التي يطلق عليها اسم TriangleDB للمهاجمين قدرات مراقبة سرية. تعمل في الذاكرة فقط، مما يضمن مسح جميع الأدلة على الغرسة عند إعادة تشغيل الجهاز.
وأبلغت كاسبرسكي مؤخرًا عن حملة جديدة للتهديدات المتقدمة المستمرة (APT) للأجهزة المحمولة والتي تستهدف على وجه التحديد أجهزة iOS عبر iMessage. بعد التحقيق الذي دام ستة أشهر ، نشر باحثو الشركة تحليلًا متعمقًا لسلسلة الاستغلال وكشفوا عن تفاصيل عملية زرع برامج التجسس. ويتم نشر الغرسة، التي يطلق عليها اسم TriangleDB ، من خلال استغلال ثغرة أمنية في النواة للحصول على امتيازات أولية على جهاز iOS المستهدف. بمجرد نشره ، فإنه يعمل فقط في ذاكرة الجهاز، وبالتالي تختفي آثار العدوى عند إعادة تشغيل الجهاز. وبالتالي ، إذا أعاد الضحية إعادة تشغيل جهازه ، يحتاج المهاجم إلى إعادة إصابته عن طريق إرسال رسالة iMessage أخرى بها مرفق خبيث، والبدء في عملية الاستغلال بأكملها مرة أخرى. في حالة عدم حدوث إعادة تشغيل، سيتم إلغاء تثبيت الغرسة تلقائيًا بعد 30 يومًا ، ما لم يمدد المهاجمون هذه الفترة. تعمل كبرامج تجسس معقدة، وتقوم TriangleDB بتنفيذ مجموعة واسعة من جمع البيانات والمراقبة.
وتشمل الغرسة في المجمل على 24 أمرًا بوظائف متنوعة. وتخدم هذه الأوامر لأغراضًا مختلفة، مثل التفاعل مع نظام ملفات الجهاز (بما في ذلك إنشاء الملفات وتعديلها وسحبها وإزالتها) ، وإدارة العمليات (الإدراج والإنهاء)، واستخراج عناصر سلسلة المفاتيح لجمع بيانات اعتماد الضحية، ومراقبة الموقع الجغرافي للضحية.
وأثناء تحليل TriangleDB، اكتشف خبراء كاسبرسكي أن فئة CRConfig تحتوي على طريقة غير مستخدمة تسمى populateWithFieldsMacOSOnly. على الرغم من عدم استخدامه في غرسة iOS، إلا أن وجودها يشير إلى إمكانية استهداف أجهزة macOS بزرع غرسة مماثلة.
قال جورجي كوتشرين، خبير الأمن في فريق البحث والتحليل العالمي في كاسبرسكي: “أثناء خوضنا في الهجوم، اكتشفنا غرسة iOS متطورة أظهرت العديد من الميزات المثيرة للاهتمام. ونواصل تحليل الحملة وسوف نبقي الجميع على اطلاع بمزيد من المعلومات حول هذا الهجوم المتطور. وندعو مجتمع الأمن السيبراني إلى الاتحاد ومشاركة المعلومات والتعاون للحصول على صورة أوضح حول التهديدات الموجودة “.
