“Trianqulyasiya Əməliyyatı” nədir?
“Trianqulyasiya Əməliyyatı” iOS əməliyyat sistemi ilə işləyən cihazlara hücumların həyata keçirildiyi APT (Advanced Persistent Threat – yüksək mürəkkəbliyə malik davamlı hədəfli hücum) kampaniyasıdır.
Məqsədi nə idi?
Təcavüzkarların məqsədi casusluq idi. Casus proqram qurbanın cihazından məlumatları uzaq serverlərə ötürüb. Təcavüzkarları mikrofonlardan səsyazıları, messencerlərdən fotoşəkillər, geolokasiya və digər istifadəçi məlumatları maraqlandırırdı.
Təcavüzkarları kim və necə ifşa edib?
Hücumları “Kaspersky Unified Monitoring and Analysis Platform (KUMA)” SIEM sistemi sayəsində Kaspersky mütəxəssisləri aşkar ediblər. Bu, öz korporativ Wi-Fi şəbəkəmizdən alınan şəbəkə trafikini təhlil edərkən baş verib. Sonrakı araşdırmalar zamanı məlum olub ki, təcavüzkarlar şəbəkəyə qoşulmuş onlarla “Kaspersky” əməkdaşına məxsus iOS cihazına hücum ediblər.
Hücumlar necə həyata keçirilib?
Hücum üçün əvvəllər məlum olmayan zərərli proqramdan istifadə edilib. Zərərli proqram iMessage-ə gizli şəkildə sızdırılan istismardan istifadə edərək qurbanın cihazına nüfuz edib. Bundan istifadə edərək, təcavüzkarlar yoluxmuş cihaz üzərində tam nəzarəti təmin edib və bütün məlumatlara çıxış əldə ediblər. Bu halda istifadəçinin heç bir hərəkət etməsinə ehtiyac qalmayıb. Bundan sonra infeksiyaya səbəb olan mesaj avtomatik olaraq silinib.
“Kaspersky” mütəxəssisləri həmçinin aşkar ediblər ki, təcavüzkarlar məlumat toplamaq üçün “TriangleDB” adlı casus implantından istifadə ediblər. Bu, gizli nəzarətə imkan verən mürəkkəb casus proqramdır. “TriangleDB” iOS cihazında super istifadəçi imtiyazları əldə etmək üçün çəyirdək zəifliyindən uğurla istifadə edildikdən sonra cihaza yeridilir. O, yalnız cihazın yaddaşında işləyir, ona görə də cihaz yenidən başladıldıqdan sonra yoluxma izləri yoxa çıxır. Qurban cihazı yenidən işə salarsa, zərərli əlavəyə malik “iMessage”-ı yenidən göndərməklə cihaz təkrarən yoluxdurulmalıdır.
Bir iOS cihazının yoluxub-yoluxmadığını yoxlamaq mümkündürmü?
Hücumlar aşkar edildikdən sonra “Kaspersky” iOS cihazının yoluxduğunu yoxlamaq üçün istifadə edilə bilən “triangle_check” aləti hazırlayıb. İstifadəçilər həmçinin casus proqramla yoluxmanın izləri üçün avtomatik axtarış apara bilərlər. Bunun üçün siz “GitHub”-dan “triangle_check”-i kompüterinizə yükləməli, işə salmalı və onunla iOS cihazının ehtiyat nüsxəsini yoxlamalısınız. Ətraflı təlimatları Securelist saytında tapa bilərsiniz. “Trianqulyasiya Əməliyyatı” haqqında daha ətraflı məlumatı buradan öyrənə bilərsiniz: https://securelist.ru/trng-2023/ (rus dilində) və https://securelist.com/trng-2023/ (ingilis dilində).
