“Podczas monitorowania ruchu sieciowego na naszej firmowej sieci Wi-Fi przeznaczonej dla urządzeń mobilnych za pomocą platformy Kaspersky Unified Monitoring and Analysis (KUMA), zauważyliśmy podejrzaną aktywność, która pochodziła z kilku korporacyjnych telefonów opartych na systemie iOS.” Tak rozpoczyna się wpis na blogu Securelist należącym do rosyjskiej firmy Kaspersky. Jak się okazuje, od 2019 roku urządzenia z systemem iOS są atakowane z użyciem exploitów zero-click za pośrednictwem platformy iMessage. Czym są ataki zero-click?
Ataki zero-click
Ataki zero-click to forma ataku, która nie wymaga żadnej interakcji ze strony użytkownika, takiej jak kliknięcie, naciśnięcie klawisza lub inne działanie. Atakujący wysyła niebezpieczny plik lub dane na urządzenie, które wykorzystuje luki w systemie lub aplikacji do przejęcia kontroli. Ataki zero-click często wykorzystują aplikacje do przesyłania wiadomości lub połączeń głosowych, takie jak WhatsApp, Facebook Messenger, Apple iMessage czy Telegram. Jest to jedna z najniebezpieczniejszych metod ataku, ponieważ trudno go wykryć, dopóki nie spowoduje szkód.
Jak działa exploit?
Użytkownik urządzenia z systemem iOS otrzymuje wiadomość przez platformę iMessage, która zawiera złośliwy załącznik. To powoduje infekcję już na etapie początkowym bez jakiejkolwiek interakcji ze strony użytkownika. Następnie exploit kontynuuje infekcję, pobierając dodatkowe komponenty z zewnętrznego serwera w celu eskalacji uprawnień. Następnie wiadomość i załącznik zostają usunięte z urządzenia. Mimo to exploit nadal działa z uprawnieniami roota, zbierając poufne informacje o systemie i użytkowniku oraz wykonując polecenia atakującego.
Analiza wykazała, że pierwsze oznaki infekcji miały miejsce w 2019 roku, a najnowszą zainfekowaną wersją systemu iOS jest 15.7. Dane wykradane z zainfekowanych iPhone’ów obejmują nagrania dźwiękowe z mikrofonu, zdjęcia z komunikatorów internetowych oraz informacje o lokalizacji geograficznej. W fazie końcowej, zarówno pierwotna wiadomość, jak i exploit w załączniku są usuwane w celu wyeliminowania wszelkich śladów infekcji. Warto zauważyć, że Kaspersky dowiedział się o infekcjach w swojej sieci korporacyjnej dopiero dzięki kopiom zapasowym urządzeń.
Obecnie nie jest jasne, czy ataki wykorzystują lukę zero-day. W zeszłym miesiącu Apple wydało aktualizację do wersji iOS 15.7.6, mimo że najnowszą dostępną wersją systemu jest iOS 16.5. Może to sugerować, że producent jest już świadomy tej sytuacji i podjął działania w celu zabezpieczenia użytkowników.
Kreml oskarża USA
Raport firmy Kaspersky zbiega się w czasie z doniesieniami rosyjskiej Federalnej Służby Bezpieczeństwa (FSB), która opublikowała oskarżenie wobec amerykańskich agencji wywiadowczych dotyczące włamania się do kilku tysięcy urządzeń Apple należących do rosyjskich abonentów, w tym dyplomatów. W obu przypadkach podkreślana jest nieznana dotąd metoda ataku, przeprowadzona w ramach tajnej “operacji rozpoznawczej”. Pomimo powagi zarzutów, FSB nie przedstawiła żadnych dowodów na swoje twierdzenia.
Ponadto FSB oskarża Apple o bliską współpracę z amerykańską Agencją Bezpieczeństwa Narodowego (NSA), co według Rosji wskazuje na zaangażowanie firmy w działania szpiegowskie. Apple stanowczo zaprzecza tym oskarżeniom. Gigant twierdzi, że nigdy nie współpracował z żadnym rządem w celu wprowadzenia backdoorów do jakichkolwiek swoich produktów.
Źródło: https://thehackernews.com/2023/06/new-zero-click-hack-targets-ios-users.html
https://www.bleepingcomputer.com/news/security/russia-says-us-hacked-thousands-of-iphones-in-ios-zero-click-attacks/
Grafika: master1305, Freepik
Redaktorka Net Complex Blog
