“Kaspersky”nin Qlobal Tədqiqat və Təhlil Qrupunun (GReAT) ekspertləri Təhlükəsizlik Analitikləri Sammiti (SAS) konfransı zamanı “trianqulyasiya” əməliyyatının təhlilinin yeni təfərrüatlarını açıqlayıblar. Yeni məlumatlar iOS-da insidentin əsasını təşkil edən zəiflikləri aşkar etməyə imkan verən hücumların tədqiqat metodlarına aiddir. Mütəxəssislər, həmçinin kampaniyanın bütün mərhələlərini başa düşmək üçün qapalı əməliyyat sistemini öyrənməyə və təcavüzkarların müdafiə mexanizmlərindən yan keçməsinə imkan verən alətlər haqqında məlumat paylaşıblar.
Qısa məlumat. “Kaspersky” iOS cihazlarını hədəf alan “Trianqulyasiya əməliyyatı” adlı APT kampaniyası haqqında bu yay məlumat verib. Hücumlarda istifadəçilərdən heç bir hərəkət tələb etməyən “iMessage” mesajları vasitəsilə istismarların yayılmasının mürəkkəb metodundan istifadə edilib. Nəticədə təcavüzkarlar cihaz və istifadəçi məlumatları üzərində tam nəzarəti ələ keçirə biliblər. “GReAT”ın məlumatına görə, onların əsas məqsədi casusluq olub. Hücumun mürəkkəbliyi və iOS-un qapalı olması səbəbindən təfərrüatlı texniki analizin aparılması üçün uzun vaxt tələb olunub.
Təcavüzkarlar hansı zəifliklərdən istifadə edib? Təhlükəsizlik Analitikləri Sammitində “Kaspersky” mütəxəssisləri beş boşluqdan istifadə edən hücum zəncirini tam aşkar etməyə imkan verən bir aylıq təhlilin texniki detallarını açıqlayıblar. Onlardan dördünün əvvəllər məlum olmayan sıfır gün zəifliyi olduğu ortaya çıxıb.
“Kaspersky” mütəxəssislərinin də müəyyən etdiyi kimi, hücumun ilkin giriş nöqtəsi şrift emalı bazasındakı boşluq olub. İkinci qüsur yaddaş xəritələşdirmə kodunda aşkar edilib ki, bu da son dərəcə təhlükəlidir və istismarı asandır. Onun vasitəsilə cihazın fiziki yaddaşına daxil olmaq imkanı əldə edilib. Təcavüzkarlar “Apple” prosessoru üçün ən son aparat müdafiəsindən yan keçmək üçün daha iki boşluqdan istifadə etdilər. Həmçinin məlum olub ki, “iMessage” vasitəsilə uzaqdan “iOS” cihazlarını yoluxdurmaq imkanı ilə yanaşı, təcavüzkarlar “Safari” veb-brauzeri vasitəsilə hücumların həyata keçirilməsi üçün platformaya da malikdirlər. Bunun sayəsində boşluqların beşincisini aşkar etmək və aradan qaldırmaq mümkün olub.
“Kaspersky”dən gələn bildirişindən sonra “Apple” şirkəti rəsmi olaraq “GReAT” tədqiqatçıları tərəfindən aşkar edilmiş dörd sıfır gün boşluğunu əhatə edən və iPhone, iPod, iPad, Mac OS cihazları, Apple TV və Apple Watch daxil olmaqla çoxlu sayda Apple məhsullarına yönələn təhlükəsizlik yeniləmələrini yayımlayıb (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990).
Mütəxəssislər hücum zəncirini açığa çıxarmağa necə müvəffəq olublar? Bu boşluqları aşkar etmək və təcavüzkarların necə işlədiyini anlamaq üçün “Kaspersky” mütəxəssisləri ixtiraçı kimi davranmalı olublar. Xüsusilə, onlar təcavüzkarların şifrələməsindən yan keçəcək üsullar tapmalı idilər. Tapşırıq iOS-un qapalı olması ilə daha da çətinləşib. Məsələn, yoluxma zəncirinin başlanğıcı olan iMessage-dəki qoşmanı çıxarmaq üçün şifrəli mətni və AES şifrələmə açarını əldə etmək lazım olub. Birinci komponent “mitmproxy” vasitəsilə “iCloud” serverlərinə gedən trafikin qarşısını almaqla əldə edilib. Açarla eyni şeyi etmək mümkün olmayıb, çünki o, “iMessage” protokolu ilə göndərilir. Buna görə də mütəxəssislər açarın “SMS.db” məlumat bazasında saxlanması üçün qoşmanın şifrələnmiş mətninin yüklənməsi prosesini pozmağın qaydasını müəyyən ediblər. Bunun üçün onlar “mitmproxy” əlavəsindən istifadə edərək şifrəli mətndə bir neçə baytı dəyişdirib, daha sonra isə yoluxmuş cihazdan “iTunes” ehtiyat nüsxəsini yükləyib və açarı onun ehtiva etdiyi məlumat bazasından çıxarıblar.
“Yeni ‘Apple’ çiplərinə malik cihazların texniki təhlükəsizlik xüsusiyyətləri onların kiberhücumlara qarşı müqavimətini əhəmiyyətli dərəcədə artırır, amma onlar tamamilə toxunulmaz hesab olunmurlar. Trianqulyasiya əməliyyatı ‘iMessage’a tanış olmayan mənbələrdən daxil olan əlavələr barədə ehtiyatlı olmağın vacibliyini xatırladır. Bu kampaniyadakı strategiyaların nəticələri oxşar hücumlara qarşı mübarizə üçün dəyərli təlimatlar verə bilər. Həmçinin, sistemin qapalı təbiəti ilə onun tədqiqatçılar üçün əlçatanlığı arasında tarazlığın tapılması təhlükəsizliyi yaxşılaşdırmağa kömək edə bilər”, – deyə “Kaspersky”nin kibertəhlükəsizlik üzrə eksperti Boris Larin qeyd edir.
İstifadəçilərə hücumlara qarşı müdafiə olunmaqda kömək etmək üçün “Kaspersky” əvvəllər hücum haqqında ətraflı hesabat dərc etmiş və cihazın virusa yoluxub-yoluxmadığını yoxlamağa imkan verən xüsusi yardım proqramı hazırlamışdı.
“Sistemləri qabaqcıl kiberhücumlardan qorumaq asan məsələ deyil, xüsusən iOS kimi qapalı sistemlərdə bu mürəkkəb bir prosesdir. Buna görə də belə hadisələrin aşkarlanması və qarşısının alınması üçün çoxsəviyyəli təhlükəsizlik tədbirlərinin həyata keçirilməsi vacibdir”, – deyə “Kaspersky” Laboratoriyasının Qlobal Araşdırmalar Mərkəzinin rəhbəri İqor Kuznetsov öz növbəsində bildirir.
“Trianqulyasiya” əməliyyatı haqqında ətraflı məlumatı https://securelist.ru/operation-triangulation-catching-wild-triangle/108287/ saytından əldə edə bilərsiniz.
“Kaspersky” öz tədqiqatına dair texniki təfərrüatlar və hesabatların dərcini davam etdirməyi planlaşdırır.
Hədəfli hücumlardan qorunmaq üçün “Kaspersky” mütəxəssisləri tövsiyə edirlər:
• zəiflikləri vaxtında aradan qaldırmaq üçün əməliyyat sistemini, tətbiqləri və antivirus proqramlarını mütəmadi olaraq yeniləyin;
• məxfi məlumat tələb edən e-poçt, mesaj və ya zənglərə qarşı ehtiyatlı olun. Məlumatı hər kəslə paylaşmazdan və ya şübhəli linklərə klikləməzdən əvvəl göndərəni diqqətlə yoxlayın;
• Təhlükəsizlik Əməliyyatları Mərkəzinin (SOC) işçilərini Təhdid Məlumatlarına (TI) çıxışla təmin edin. Məsələn, “Kaspersky Threat Intelligence” portalında siz “Kaspersky” tərəfindən 20 ildən artıq müddətdə toplanmış kiberhücumlar haqqında məlumatları əldə edə bilərsiniz;
• ən son hədəfli təhdidlər də daxil olmaqla təhlükəsizlik işçilərinin bacarıqlarını təkmilləşdirin. Aparıcı “Kaspersky” mütəxəssisləri tərəfindən hazırlanmış onlayn təlimlər bu işdə kömək edə bilər;
• “Kaspersky Endpoint Detection and Response” kimi son nöqtə səviyyəsində insidentləri aşkar etmək və onlara cavab vermək imkanlarına malik EDR həllərindən istifadə edin.