Οι ερευνητές κυβερνοασφάλειας της Kaspersky αποκάλυψαν περισσότερες λεπτομέρειες σχετικά με το κακόβουλο λογισμικό TriangleDB, που στοχεύει σε μια «zero-day» ευπάθεια που ανακαλύφθηκε πρόσφατα στο λειτουργικό σύστημα iOS, που χρησιμοποιούν τα iPhone.
Η ορολογία zero-day (ή zero-hour ή day-zero) χρησιμοποιείται για ένα τύπο ευπάθειας ο οποίος τη στιγμή της δημόσιας ανακοίνωσης του δεν υπάρχει αντίστοιχη ανανέωση του βαλλόμενου συστήματος από τον κατασκευαστή.
Το κακόβουλο λογισμικό TriangleDB
Σε μια λεπτομερή αναφορά, η Kaspersky αναφέρει ότι το κακόβουλο λογισμικό TriangleDB περιέχει τουλάχιστον τέσσερις διαφορετικές μονάδες που του επιτρέπουν να καταγράφει ήχους χρησιμοποιώντας το ενσωματωμένο μικρόφωνο της συσκευής, να εξάγει το iCloud keychain, να κλέβει δεδομένα από βάσεις δεδομένων SQLite.
Επίσης μπορεί να βρίσκει την θέση της συσκευής μέσω GSM (όχι GPS).
Όταν τα δεδομένα GPS δεν είναι διαθέσιμα, η μονάδα, που είναι υπεύθυνη για τον εντοπισμό της θέσης του θύματος, θα χρησιμοποιήσει τον κωδικό χώρας κινητής τηλεφωνίας (MCC), τον κωδικό δικτύου κινητής τηλεφωνίας (MNC) και τον κωδικό περιοχής θέσης (LAC) για να προσδιορίσει την ακριβή θέση της συσκευής.
Όποιος δημιούργησε το κακόβουλο λογισμικό έχει επίσης καταβάλει μεγάλες προσπάθειες για να διασφαλίσει ότι είναι εξαιρετικά δύσκολο το θύμα να καταλάβει ότι η συσκευή του έχει μολυνθεί. Η μονάδα μικροφώνου, για παράδειγμα, σταματά να λειτουργεί όταν το θύμα ανοίγει την οθόνη ή όταν η μπαταρία πέσει κάτω από το 10%. Το κακόβουλο λογισμικό εκτελεί επίσης μερικούς ελέγχους πριν από την εκτέλεσή του, για να βεβαιωθεί ότι δεν έχει εγκατασταθεί σε ερευνητικό περιβάλλον.
Eπίμονες και εξελιγμένες απειλές
Μυστήριο παραμένει μέχρι στιγμής η ταυτότητα των επιτιθέμενων. Η εκστρατεία έχει ονομαστεί «Operation Triangulation», και η Kaspersky περιέγραψε τους χειριστές της ως μια «πλήρως εξοπλισμένη προηγμένη επίμονη απειλή (APT)»
Οι APT συνδέονται συχνά με κρατικούς ή κρατικά υποστηριζόμενους φορείς απειλών που έχουν ως αποστολή την κυβερνητική ή εταιρική κατασκοπεία και την κλοπή δεδομένων.
Για να αναπτύξουν το κακόβουλο λογισμικό, οι χάκερ αξιοποίησαν zero-day ευπάθειες στο iOS, που εντοπίζονται ως «CVE-2023-32434» και «CVE-2023-32435». Με την αποστολή ενός ειδικά διαμορφωμένου μηνύματος μέσω της πλατφόρμας iMessage, οι επιτιθέμενοι μπορούσαν να αποκτήσουν πλήρη έλεγχο τόσο του κινητού όσο και των δεδομένων του χρήστη, χωρίς να χρειάζεται καμία αλληλεπίδραση από το θύμα.
«Όσοι βρίσκονται πίσω από το Triangulation δούλεψαν πολύ για να εμποδίζουν την ανίχνευση. Οι επιτιθέμενοι έδειξαν επίσης μεγάλη κατανόηση των εσωτερικών στοιχείων του iOS, καθώς χρησιμοποίησαν ιδιωτικά μη τεκμηριωμένα API κατά τη διάρκεια της επίθεσης» δήλωσαν οι ερευνητές.