查看原文
其他

俄罗斯指责NSA利用苹果后门监控境内iPhone,中国大使馆亦受影响

安全内参编译 安全内参
2024-08-29

关注我们

带你读懂网络安全


俄罗斯联邦安全局、国家CERT、卡巴斯基昨日分别发布消息,披露了一起针对俄iPhone用户的网络间谍事件;


卡巴斯基报告称,未知攻击者利用苹果零日漏洞,在员工iPhone上安装远控软件,莫斯科及多国分部员工均受影响,并公开了多个IoC信息;


俄联邦安全局公告称,美国情报部门利用苹果提供的漏洞监控了数千台iPhone设备,受害者包括俄罗斯公民,以色列、中国及多个北约成员国外交人员;


俄罗斯CERT发布警报,将这两份报告归并为一起事件。


前情回顾·抓住美国网络攻击的马脚

安全内参6月2日消息,俄罗斯网络安全公司卡巴斯基披露,内部网络上有一些iPhone遭到黑客利用零日漏洞入侵,攻击者使用iMessage零点击漏洞安装了恶意软件。

苹果iMessage收发消息时存在一个漏洞,无需任何用户交互就能执行任意代码,攻击者可借此远程下载安装其他恶意软件。

随后,发送的消息和附件都被从设备中擦除,但有效载荷继续保留在后台,以root权限运行,收集系统和用户信息并执行攻击者发出的命令。

卡巴斯基表示,这一行为开始于2019年,攻击活动当前仍在继续。卡巴斯基将其命名为“Operation Triangulation”,并号召更多知情人士分享相关信息。



卡巴斯基分析恶意软件


由于无法直接在设备上对iOS系统做分析,卡巴斯基使用移动设备验证工具包MVT为受感染iPhone创建了文件系统备份,旨在还原攻击过程和恶意软件软件的功能信息。

虽然该恶意软件试图从设备上删除攻击痕迹,但仍有部分感染迹象会被保留下来,例如通过修改系统文件阻止iOS安装更新、异常数据使用、注入已被弃用的库等。

分析显示,感染的最初迹象出现在2019年,当时被该恶意软件工具集感染的最新iOS版本为15.7。

图:恶意加密附件

请注意,目前iOS版本已升级至16.5,可能已经修复了恶意软件攻击所利用的漏洞。

受害者的iMessage收到漏洞利用消息,将触发iOS中某个未知漏洞以执行代码,进而从攻击者的服务器获取后续操作,包括权限提升漏洞。

卡巴斯基公司发布了与该恶意活动相关的15个域名,企业安全人员可以使用这份清单检查历史DNS日志,查找内部设备是否存在被利用的迹象。

图:攻击的网络利用序列

在获得root权限升级后,恶意软件会下载一套功能齐全的工具集,该工具集可执行收集系统和用户信息、从C2下载其他模块的命令。

卡巴斯基指出,被投放到设备上的APT工具集缺乏持久性机制,因此重启系统就可以有效阻止。

目前仅公开了该恶意软件的部分功能细节,对最终有效载荷的分析仍在进行当中。



俄罗斯情报部门指责NSA发动攻击


同日,俄罗斯情报与安全部门联邦安全局(FSB)也发布声明,称苹果公司故意向美国国家安全局提供后门,用来在俄国内iPhone上传播间谍软件。

俄联邦安全局指出,它已经发现数千部感染了恶意软件的苹果iPhone设备,这些手机的使用者包括俄罗斯政府官员,以及以色列、中国与几个北约成员国驻俄罗斯大使馆的工作人员。

尽管指控内容相当严重,但联邦安全局没有提供任何实质性证据。

俄罗斯政府此前曾建议,所有中央政府成员和机构雇员停止使用苹果iPhone,并在可能的情况下彻底弃用美国制造的技术产品。

卡巴斯基表示,此次攻击还影响到其莫斯科总部及其他多国的员工。尽管如此,卡巴斯基称尚无法证明当前发现与联邦安全局报告之间的联系,因为他们没有看到政府调查的技术细节。

不过在同一天,俄罗斯计算机应急响应小组(RU-CERT)发布警报,将联邦安全局的声明同卡巴斯基的报告关联了起来。

苹果公司回应称,卡巴斯基并未表示发现的漏洞会对iOS 15.7之后的版本有效,当前的苹果iPhone系统版本为16.5。

美国国家安全局拒绝就此事发表评论。


参考资料:bleepingcomputer.com


推荐阅读





点击下方卡片关注我们,
带你一起读懂网络安全 ↓


继续滑动看下一个
安全内参
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存