شبكة إنفراد الإخبارية شبكة إنفراد الإخبارية
أفادت شركة الأمن السيبراني الروسية Kaspersky بأن بعض هواتف iPhone في شبكتها قد تم اختراقها باستخدام ثغرة في نظام التشغيل iOS تقوم بتثبيت برامج ضارة عن طريق استغلال ثغرات بدون الحاجة لتفاعل المستخدم من خلال تطبيق iMessage.
يستغل توصيل الرسالة الثغرة التي تؤدي إلى تنفيذ تعليمات برمجية دون الحاجة لأي تفاعل من المستخدم؛ مما يؤدي إلى تنزيل برامج ضارة إضافية من خادم المهاجمين.
بعد ذلك، يتم محو الرسالة والمرفقات من الجهاز. في الوقت نفسه، يظل payload الضارة في الجهاز، ويعمل بامتيازات المستخدم المسؤول root لجمع معلومات النظام والمستخدم وتنفيذ الأوامر المرسلة من قبل المهاجمين.
أشارت Kaspersky أن الحملة بدأت في عام 2019 وتقاريرها تشير إلى أن الهجمات ما زالت مستمرة. وقد أطلقت الشركة اسم “Operation Triangulation” على الحملة وتدعو أي شخص لديه معلومات إضافية عنها لمشاركتها.
نظرًا لأنه من المستحيل تحليل نظام التشغيل iOS من الجهاز نفسه، استخدمت Kaspersky مجموعة أدوات التحقق من الهاتف المحمول Mobile Verification Toolkit لإنشاء نسخ احتياطية لنظام الملفات في iPhone المصابة لاستعادة معلومات حول عملية الهجوم ووظيفة البرمجيات الضارة.
على الرغم من أن البرمجية الضارة تحاول حذف آثار الهجوم من الأجهزة، فإنها تترك علامات الإصابة، مثل تعديلات ملفات النظام التي تمنع تثبيت تحديثات نظام iOS، واستخدام غير طبيعي للبيانات، وإدخال المكتبات المهملة.
أظهر التحليل أن أولى علامات العدوى حدثت في عام 2019، وأحدث إصدار iOS الذي أصيب بمجموعة الأدوات الضارة هو الإصدار 15.7.
لاحظ أن أحدث إصدار رئيس من iOS هو الإصدار 16.5، والذي ربما قد أصلح الثغرة الأمنية المستخدمة في هذه الهجمات الضارة.
الاستغلال المُرسل عبر iMessage يُحفز ثغرة غير معروفة في نظام التشغيل iOS لتنفيذ التعليمات البرمجية، واستحضار مراحل متعاقبة من خادم المهاجم، بما في ذلك استغلالات تصعيد الامتياز privilege escalation exploits.
قدمت الشركة قائمة تضم 15 domains نطاقًا مرتبطًا بهذا النشاط الضار، يمكِّن مسؤولي التأمين من استخدامها لفحص سجلات DNS للكشف عن علامات محتملة للاستغلال على أجهزتهم.
بعد تصعيد الامتياز إلى مستوى root privilege escalation، تقوم البرمجية الضارة بتنزيل مجموعة أدوات كاملة الميزات تقوم بتنفيذ أوامر لجمع معلومات النظام والمستخدم، وتحميل وحدات إضافية من خادم التحكم C2.
لاحظت Kaspersky أن مجموعة أدوات APT المحملة على الجهاز لا تحتوي على آليات الاستمرارية، لذلك فإن إعادة التشغيل ستوقفها بشكل فعال.
في الوقت الحالي، تم الكشف عن تفاصيل قليلة فقط عن وظائف البرمجية الضارة، حيث ما زال التحليل للحمولة النهائية final payload قيد العمل.
في بيان يتزامن مع تقرير Kaspersky، زعم جهاز الأمن الفيدرالي الروسي Federal Security Service (FSB) أن شركة Apple قامت عمدا بتزويد وكالة الأمن القومي الأمريكية National Security Agency (NSA) بثغرة خلفية يمكن استخدامها لاختراق iPhones ببرمجيات التجسس.
زعم جهاز الأمن الفيدرالي الروسي “FSB” أنه اكتشفت إصابات بالبرمجيات الضارة على آلاف أجهزة iPhones التابعة لمسؤولين في الحكومة الروسية وموظفين في سفارات إسرائيل والصين والعديد من دول الأعضاء في حلف شمال الأطلسي NATO في روسيا.
على الرغم من خطورة هذه الادعاءات، فإن جهاز الأمن الفيدرالي الروسي “FSB” لم يقدم أي دليل على ادعاءاته.
أوصت الدولة الروسية سابقًا بأن يتحول جميع موظفي وأعضاء الإدارة الرئاسية من استخدام أجهزة Apple iPhone، وإذا كان ذلك ممكنًا، التخلي تمامًا عن التكنولوجيا المصنوعة في أمريكا.
أكدت شركة Kaspersky أن الهجوم أثر على مكتبها الرئيس في موسكو وموظفيها في دول أخرى، ومع ذلك صرحت الشركة بأنها غير قادرة على التحقق من الارتباط بين نتائجها وتقرير “FSB”، نظرًا لعدم توافر التفاصيل الفنية للتحقيقات الحكومية.
ومع ذلك، فقد أصدر مركز الاستجابة الروسي للطوارئ CERT تنبيهًا يربط بين بيان “FSB” وتقرير Kaspersky.
في 2 يونيو – أرسل متحدث باسم Apple التعليق التالي: “لم نعمل أبدًا مع أي حكومة لإدخال باب خلفي في أي منتج من منتجات Apple ولن نفعل ذلك أبدًا.”
