Comments 36
Эксперты лаборатории пока не нашли действенного способа удаления шпионской программы без потери пользовательских данных. Малварь бесфайловая, судя по всему - после перезагрузки не сохраняется.
Я что-то совсем не пойму. Если малварь держится только в оперативной памяти и после перезагрузки не сохраняется, то перезагрузка и является действенным способом удаления малвари. А тут написано совершено противоположное.
Наиболее старое заражение - от 2019 года.
«Это можно сделать только при помощи сброса заражённого iPhone до заводских настроек, установки последней версии операционной системы и всего окружения пользователя с нуля. Иначе, даже будучи удалённым из памяти устройства перезагрузкой, троянец-шпион Triangulation способен провести повторное заражение через уязвимости в устаревшей версии iOS», — подытожил Касперский.
Это тоже мне не понятно. Т.е. в новых версиях этой уязвимости нет, если последние версии ОС не подвержены уязвимости?
Но в заявлении ФСБ говорится:
Таким образом, полученная российскими спецслужбами информация свидетельствует о тесном сотрудничестве американской компании Apple с национальным разведсообществом, в частности АНБ США, и подтверждает, что декларируемая политика обеспечения конфиденциальности персональных данных пользователей устройств Apple не соответствует действительности.
То есть получается, что Эппл сама сознательно создала уязвимость и сама её пофиксила в новой версии?
“- Товарищ, проходите, это лекция для колхозников” /s
1) может, имеется в виду, что нет защиты от повторного получения вредоносного сообщения?
3) может, инфа о бэкдоре ушла не в те руки, его пофиксили и добавили новый? :)
Такие уязвимости легко отследить, если в ваершарке дофига соединений с левыми доменами, то не надо быть гением, чтобы понять что тебя затроянили.
https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2023/06/01125729/operation-triangulation_01.png
Нельзя быть уверенными, что сообщения формируются не в определенное время, например, ночью или только по средам или когда Луна в Козероге...? Если знать, что искать, то да, можно поместить телефон в изолированную среду и снифить, но сомневаюсь, что даже продвинутый пользователь сможет отловить заражение. Может быть уже уязвимость или код малваря изменился, и теперь он более скрытый (или существует несколько разных малварей и обнаружен только один на 242кБ).
Самое неприятное, как я понял, пользователь никак не может закрыть эту дыру. Ни смена каких-либо прав доступа или любые другие действия не позволят обезопасить устройство.
из сообщения только не понял - это прямо целевое заражение? если да, то довольно опрометчиво заражать сотрудников Касперыча...
Всё что описано в статье - это классический троян. Коих было на винде овер9000 и строили целые ботнеты с их помощью или воровали данные.
Единственное ноухау - это эксплоит для аймеседжа, выход из песочницы/повышение прав.
Но это тоже такое себе ноухау, потому что это по сути "привязанный джейлбрейк". А их было дофига разных за время существования айос, были даже такие, где нужно было всего лишь зайти через сафари на страницу.
3) может, инфа о бэкдоре ушла не в те руки, его пофиксили и добавили новый? :)
Если пользоваться таким подходом, то не существует реалистичного сценария развития событий, при котором вы не найдете способа подстроиться под ранее принятую гипотезу "Apple конечно же сделал это в сотрудничестве со спецслужбами"
защита от повторного заражения называется устранение бэкдора. Так что не надо натягивать сову на глобус. Согласен с @AlexXYZ:
“- Товарищ, проходите, это лекция для колхозников” /s
Повод развивать и продвигать Аврору. Или хотя бы на Android переводить для сотрудников госконтор.
На авроре нет уязвимостей и вирусов по тем же причинам, что и на линуксе же)))
Дааа, чтобы Товарищ Майор наконец смог перейти на удаленку и шить дела из дома))
Шёл 2023 год...
Эпл добавила в телефоны сигнализирование о заражении трояном с полной блокировкой телефона. Разблокировка возможно только полнйо перепрошивкой без гарантии отстутсвия повтороного заражения (путём проведения повтороной атаки). И, да, старые версии системызаражаются простым сообщением в WhatsApp, новые - сообщением iMessage, совсем новые - непонятно как, но тоже заражаются
И тут ФСБ и Касперский однаружили Pegasus... После блокировки телефонов и отображении уведомлений о заражении, естественно. Правда, ФСБ само хотело купить этого самого трояна, но, вроде бы, конкретно им отказали. Там аж целая очередь людоедских режимов в покупателях выстроилась. АНБ тоже когда-то что-то пытались купить, но после большого скандала, вроде бы, передумали (или нашли более другие способы слежки).
Зоркий Джо, однако.
Этот скандал с Pegasus и NSO Group и заражением телефонов через сообщения WhatsApp в 2019 году уже отгремел в прошлом году, с эхом весной этого года. Эпл там совершенно ни при чём. Эпил беился как могу. Ну, так чтобы денег не потерять и пользователей не тревожить, естетсвенно.
То, что ФСБ/ФСО сумели прохлопать всю эту историю в течение четырёх (!!!) лет, несмоненный есть успех и показтель полнейшего профессионализма. Осенью прошлого года после проигрыша Apple в судах против NSO Group уже каждая собака знала Pegasus, о троянах, риске взлома и прочем. Доброе, что говорится, утро и првет Дмитрия Анатольевичу с его богмерзким буржуйским айфоном.
Все так, кроме одного - эта атака никакого отношения к Пегасу не имеет
Очень удивительное совпадение. Буквально пару недель назад Apple стала уведомлять пользователей о трояне и блокировать телефоны, и совершенно вдруг ФСБ находит трояна, который аж с 2019 года сидел - как раз, когда о Pegasus стало широко известно впервые. Ну, и вообще, троян, который с 2019 активен? Это что-то очень серьёзное, что регулярно обновляется и всё время переходит на новые уязвимости.
Четыре года они трояна в упор не видели, а сейчас увидели. Что изменилось? То, что Apple стала обнаруживать и уведомлять имено о Pegasus. Л - логика.
А почему вы думаете, что это была таже самая уязвимость, что и в 2019 году?
Если верить википедии, то уязвимость, которую эксплуатироал Pegasus закрыли в IOS 14.7, а в данном случае речь про уязвимость актуальную минимум до версии до 15.7 включительно. То есть это разные уязвимости.
А это не та же уязвиость, это, похоже, троян тот же. А уязвиости разные.
Это вряд ли, в случае с IOS, троян не имеет никакой ценности в сравнении с RCE уязвимостью. Такая уязвимость стоит миллионы долларов. Сам payload при этом может быть какой угодно, для его создания много ума не надо. Какой смысл использовать чей-то древний payload?
А где можно почитать про нотификацию о Пегасус?
Нашел нотификацию в lockdown mode о попытке доступа куда не положено, но то похоже не по сигнатуре на конкретный троян, а по неожиданной попытке доступа к данным.
Это было в сентябре прошлого года. Несколько недель назад прошла новость, что Apple задолбались и добавили более агрессивное определние факта заражения. Причём целились они прежде всего в Pegasus так как проиграли судбный иск. Где почитать даже не знаю. Оно со всех околобезлопасных лилось совсем недавно.
Меня удивляет, как до сих пор возможны атаки с переполнением буфера. В программах вообще что-ли не проверяются поступающие в переменную данные? 2023 год на дворе.
Российские эксперты из «Лаборатории Касперского» придумали новый способ блокировок сайтов, даже если используется ВПН(или другие туннели). Сертификат "нежелательного"(и находящегося в чёрном списке блокировки) сайта вдруг объявляется недостоверным и переход блокируется.
А как объявить сертификат недостоверным?
Хм, а ведь хороший вопрос. Наверное можно таргетить CRL/OCSP. Для этого, правда, надо "государственный сертификат", чтобы делать MITM.
в товарщмайородобрительном браузере только - до остальных дотянуться не смогут
Для удаления достаточно заблокировать iMessage и перегрузить iPhone.
И обновиться на самую свежую версию iOS.
Из теxнического описания на сайте Касперского:
Заражаемое iOS-устройство получает сообщение iMessage...
Вредоносная платформа работает исключительно в оперативной памяти и не устанавливается в системе из-за ограничений операционной системы.
...после перезагрузки устройства могут быть заражены снова. Наиболее старые временные метки заражений указывают на 2019 год. На момент написания блогпоста (июнь 2023) атака продолжается, наиболее старшая версия iOS на обнаруженных заражённых устройствах – 15.7.
Знаете, описание в посте очень сильно напоминает мне спам, который я периодически получаю, в духе:
«я использовал уязвимости операционной системы и установил троян в драйвер видеокамеры, а также отслеживание браузера. Теперь я знаю, на какие сайты для взрослых ты смотришь..»
Российские эксперты из «Лаборатории Касперского» раскрыли механизм целевой кибератаки с использованием iPhone