Триангуляция операциясы: «Касперский зертханасының» сарапшылары зиянкестердің қорғанысын қалай орап өтті
Компания сарапшылары Триангуляция операциясын талдаудың жаңа мән-жайларын келтірді. Олар iOS-тағы осалдықтарды және оқиғаның артындағы эксплойттарды анықтауға мүмкіндік беретін шабуылды зерттеу әдістеріне қатысты болады. Сондай-ақ, сарапшылар жабық операциялық жүйені зерттеуге және науқанның барлық кезеңдерін түсіну үшін шабуылдаушылардың қорғаныс тетіктерін айналып өтуге мүмкіндік беретін құралдар туралы ақпаратпен бөлісті.
Алдыңғы тарихы. Осы жазда «Касперский зертханасы» iOS құрылғылары ұшыраған Триангуляция операциясы APT-кампаниясы туралы хабарлады. Шабуылдар үшін эксплойттар таратудың күрделі әдісі— пайдаланушылардан ешқандай әрекетті қажет етпейтін, iMessage-дегі хабарламалар арқылы қолданылды. Нәтижесінде зиянкестер құрылғы мен пайдаланушы деректерін толық бақылауға алды. Great бағалауы бойынша шабуылдаушылардың негізгі мақсаты тыңшылық болды. Егжей — тегжейлі техникалық талдау жасау үшін шабуылдың қиындығына және iOS-тың жабылуына байланысты көп уақыт қажет болды.
Зиянкестер қандай осалдықтарды пайдаланды. «Касперский зертханасының» сарапшылары бес осалдықты пайдаланған шабуыл тізбегін толық ашуға мүмкіндік беретін бірнеше айлық талдаудың техникалық мәліметтерін хабарлады.
«Касперский зертханасының» сарапшылары анықтағандай, бастапқы кіру нүктесі қаріптерді өңдеу кітапханасындағы осалдық болды. Екінші алшақтық жадты көрсету кодында табылды — өте қауіпті және қолдануға оңай. Бұл құрылғының физикалық жадына қол жеткізуге мүмкіндік берді. Тағы екі осалдықты зиянкестер Apple процессорының жаңа аппараттық қорғаныс құралдарын айналып өту үшін пайдаланды. Сондай-ақ, iOS-пен жұмыс істейтін құрылғыларды iMessage арқылы қашықтан қуаттау мүмкіндігімен қатар, шабуылдаушылардың Safari веб-браузері арқылы шабуыл жасау платформасы бар екені анықталды. Осының арқасында осалдықтардың бесіншісін анықтауға және түзетуге мүмкіндік туындады.
«Касперский зертханасынан» хабарлама алғаннан кейін Apple компаниясы GReAT зерттеушілері анықтаған төрт нөлдік күндік осалдықтарды шешетін қауіпсіздік жаңартуларын (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990) ресми түрде шығарды. Олар iPhone, iPod, iPad, Mac OS құрылғылары, Apple TV және Apple Watch сияқты көптеген Apple өнімдеріне әсер етті.
Сарапшылар шабуыл тізбегін қалай ашты. Осы осалдықтарды анықтау және шабуылдаушылардың қалай әрекет еткенін түсіну үшін «Касперский зертханасының» мамандары шығармашылықпен айналысуға мәжбүр болды. Атап айтқанда, олар шабуылдаушыларды шифрлауды айналып өтетін әдістерді ойлап табуы керек еді. Тапсырма iOS-тың жабылуымен күрделенді. Мысалы, iMessage — тен қосымшаны алу үшін-жұқтыру тізбегінің басталуы-шифрланған мәтін мен AES шифрлау кілтін алу керек болды. Бірінші құрамдауыш mitmproxy арқылы iCloud серверлеріне трафикті ұстап алу арқылы алынды. Кілтпен дәл осылай жасау мүмкін болмады, өйткені ол iMessage хаттамасы арқылы жіберіледі. Сондықтан сарапшылар кілтті SMS.db дерекқорында сақтау үшін шифрланған тіркеме мәтінін жүктеу процесін бұзудың жолын ойлап тапты. Мұны істеу үшін олар mitmproxy арқылы шифрланған мәтіндегі бірнеше байтты өзгертті, содан кейін iTunes сақтық көшірмесін вирус жұққан құрылғыдан жүктеп алды (олар толық құрылғы кескіндерінің орнына пайдаланылды) және ондағы дерекқордан кілтті шығарды.
«Жаңа Apple чиптері бар құрылғылардың аппараттық қорғаныс құралдары олардың кибершабуылдарға төзімділігін айтарлықтай арттырады, бірақ олар толығымен осалсыз келеді. Триангуляция операциясы-бұл iMessage-ке бейтаныс көздерден келетін салымдарға сақтықпен қарау қаншалықты маңызды екенін еске салады. Осы кампания стратегиялары туралы тұжырымдар осындай шабуылдарға қарсы тұру үшін құнды нұсқаулық бола алады. Жүйенің жабылуы мен оның зерттеушілер үшін қолжетімділігі арасындағы тепе — теңдікті іздеу қауіпсіздікті арттыруға да ықпал етуі мүмкін», — деп «Касперский Зертханасының» киберқауіпсіздік жөніндегі сарапшысы Борис Ларин түсіндіреді.
Пайдаланушыларды қорғауға көмектесу үшін «Касперский зертханасы» бұрын шабуыл туралы егжей-тегжейлі есеп шығарды және арнайы утилит әзірледі, соның арқасында құрылғының жұқтырылғанын тексеруге болады.
«Жүйелерді жетілдірілген кибершабуылдардан қорғау оңай шаруа емес, әсіресе iOS сияқты жабық жүйелер жағдайында. Сондықтан мұндай оқиғаларды анықтау және алдын алу үшін көп деңгейлі қауіпсіздік шараларын енгізу маңызды», — деп «Касперский зертханасы» Жаһандық зерттеу орталығының жетекшісі Игорь Кузнецов атап өтті.
Сіз Триангуляция Операциясы туралы https://securelist.ru/operation-triangulation-catching-wild-triangle/108287/ сайтынан көбірек біле аласыз. «Касперский зертханасы» өзінің зерттеуі бойынша техникалық мәліметтер мен қосымша есептерді одан әрі жариялауды жоспарлап отыр.
Мақсатты шабуылдардан қорғану үшін «Касперский зертханасының» сарапшылары мыналарды ұсынады:
— осалдықтарды уақытында жою үшін операциялық жүйені, қосымшаларды және антивирустық БЖ үнемі жаңартып отырыңыз;
— құпия ақпарат беруді сұрайтын электрондық хаттарға, хабарламаларға немесе қоңырауларға сақ болыңыз.
-біреумен деректерді бөліспес бұрын немесе күдікті сілтемелерге өтпес бұрын жіберушіні мұқият тексеріңіз;
— Қауіпсіздікті басқару орталығының (SOC) қызметкерлеріне қауіп туралы ақпаратқа (TI) қол жеткізуді қамтамасыз ету. Мысалы, Kaspersky Threat Intelligence порталында 20 жылдан астам уақыт ішінде «Касперский зертханасы» жинаған кибершабуылдар туралы деректерді алуға болады;
— қауіпсіздікке жауапты, оның ішінде жаңа нысаналы қатерлер бойынша қызметкерлердің біліктілігін арттыру. Бұған «Касперский зертханасының» жетекші сарапшылары әзірлеген онлайн-тренингтер көмектесе алады;
— Kaspersky Endpoint Detection and Response сияқты соңғы құрылғы деңгейіндегі оқиғаларды анықтау және оларға жауап беру үшін EDR-шешімдерін пайдаланған жөн.