【安全圈】俄罗斯指责NSA利用苹果后门监控境内iPhone,中国大使馆亦受影响

新闻资讯   2023-06-10 19:01   73   0  

关键词

安全漏洞


  • 俄罗斯联邦安全局、国家CERT、卡巴斯基昨日分别发布消息,披露了一起针对俄iPhone用户的网络间谍事件;

  • 卡巴斯基报告称,未知攻击者利用苹果零日漏洞,在员工iPhone上安装远控软件,莫斯科及多国分部员工均受影响,并公开了多个IoC信息;

  • 俄联邦安全局公告称,美国情报部门利用苹果提供的漏洞监控了数千台iPhone设备,受害者包括俄罗斯公民,以色列、中国及多个北约成员国外交人员;

  • 俄罗斯CERT发布警报,将这两份报告归并为一起事件。

俄罗斯网络安全公司卡巴斯基披露,内部网络上有一些iPhone遭到黑客利用零日漏洞入侵,攻击者使用iMessage零点击漏洞安装了恶意软件。

苹果iMessage收发消息时存在一个漏洞,无需任何用户交互就能执行任意代码,攻击者可借此远程下载安装其他恶意软件。

随后,发送的消息和附件都被从设备中擦除,但有效载荷继续保留在后台,以root权限运行,收集系统和用户信息并执行攻击者发出的命令。

卡巴斯基表示,这一行为开始于2019年,攻击活动当前仍在继续。卡巴斯基将其命名为“Operation Triangulation”,并号召更多知情人士分享相关信息。

卡巴斯基分析恶意软件

由于无法直接在设备上对iOS系统做分析,卡巴斯基使用移动设备验证工具包MVT为受感染iPhone创建了文件系统备份,旨在还原攻击过程和恶意软件软件的功能信息。

虽然该恶意软件试图从设备上删除攻击痕迹,但仍有部分感染迹象会被保留下来,例如通过修改系统文件阻止iOS安装更新、异常数据使用、注入已被弃用的库等。

分析显示,感染的最初迹象出现在2019年,当时被该恶意软件工具集感染的最新iOS版本为15.7。

图:恶意加密附件

请注意,目前iOS版本已升级至16.5,可能已经修复了恶意软件攻击所利用的漏洞。

受害者的iMessage收到漏洞利用消息,将触发iOS中某个未知漏洞以执行代码,进而从攻击者的服务器获取后续操作,包括权限提升漏洞。

卡巴斯基公司发布了与该恶意活动相关的15个域名,企业安全人员可以使用这份清单检查历史DNS日志,查找内部设备是否存在被利用的迹象。

图:攻击的网络利用序列

在获得root权限升级后,恶意软件会下载一套功能齐全的工具集,该工具集可执行收集系统和用户信息、从C2下载其他模块的命令。

卡巴斯基指出,被投放到设备上的APT工具集缺乏持久性机制,因此重启系统就可以有效阻止。

目前仅公开了该恶意软件的部分功能细节,对最终有效载荷的分析仍在进行当中。

俄罗斯情报部门指责NSA发动攻击

同日,俄罗斯情报与安全部门联邦安全局(FSB)也发布声明,称苹果公司故意向美国国家安全局提供后门,用来在俄国内iPhone上传播间谍软件。

联邦安全局指出,它已经发现数千部感染了恶意软件的苹果iPhone设备,这些手机的使用者包括俄罗斯政府官员,以及以色列、中国与几个北约成员国驻俄罗斯大使馆的工作人员。

尽管指控内容相当严重,但联邦安全局没有提供任何实质性证据。

俄罗斯政府此前曾建议,所有中央政府成员和机构雇员停止使用苹果iPhone,并在可能的情况下彻底弃用美国制造的技术产品。

卡巴斯基表示,此次攻击还影响到其莫斯科总部及其他多国的员工。尽管如此,卡巴斯基称尚无法证明当前发现与联邦安全局报告之间的联系,因为他们没有看到政府调查的技术细节。

不过在同一天,俄罗斯计算机应急响应小组(RU-CERT)发布警报,将联邦安全局的声明同卡巴斯基的报告关联了起来。

苹果公司回应称,卡巴斯基并未表示发现的漏洞会对iOS 15.7之后的版本有效,当前的苹果iPhone系统版本为16.5。

美国国家安全局拒绝就此事发表评论。



   END  

阅读推荐

【安全圈】微软发现 macOS 漏洞可让黑客访问用户私人数据

【安全圈】勒索软件团伙使用泄露的勒索软件代码攻击 Windows、Linux 系统

【安全圈】北京公交APP惊现诈骗广告,官方回应

【安全圈】免费 VPN 服务 SuperVPN 泄露 3.6 亿用户隐私




安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!


文章引用微信公众号"安全圈",如有侵权,请联系管理员删除!

博客评论
还没有人评论,赶紧抢个沙发~
发表评论
说明:请文明发言,共建和谐网络,您的个人信息不会被公开显示。