TriangleDB, шпионский имплант кампании Triangulation

Не так давно наши технологии выявили новую APT-атаку на мобильные телефоны iPhone. Атака была частью кампании, целью которой в числе прочих являлись и сотрудники «Лаборатории Касперского». Используя уязвимости в ядре системы, неизвестные злоумышленники разворачивали в памяти устройства шпионский имплант, получивший название TriangleDB. Нашим экспертам удалось тщательно изучить этот имплант.

Что умеет имплант TriangleDB?

Изучение импланта представляло определенную трудность, поскольку он работает исключительно в памяти телефона, не оставляя следов в системе. То есть перезагрузка полностью уничтожает все следы атаки. Кроме того, через 30 дней после заражения TriangleDB самоуничтожается (если не получает команды на продление работы от операторов). Базовая функциональность импланта включает следующие возможности:

• манипуляции с файлами (создание, модификация, удаление и эксфильтрация);
• манипуляции с запущенными процессами (получение списка и их завершение);
• эксфильтрация элементов связки ключей iOS (keychain), которые могут содержать учетные данные для разных сервисов, сертификаты и прочие ключи;
• передача данных геопозиционирования, включая координаты, высоту, скорость и направление движения.

Помимо этого, имплант может загружать в память телефона и запускать дополнительные модули. Если вас интересуют технические детали импланта, то они подробно описаны в посте в блоге Securelist, ориентированном на экспертов по информационной безопасности.

APT-атаки на мобильные устройства

Еще не так давно основной целью APT-атак были преимущественно традиционные персональные компьютеры. Однако современные мобильные устройства не уступают в производительности и функциональности иному офисному ПК. Они все чаще используются для работы с критически важной для бизнеса информацией, хранят как личные, так и деловые секреты и могут служить ключами для доступа к рабочим сервисам. Поэтому APT-группировки прикладывают особенные усилия для проведения атак на мобильные операционные системы.

Разумеется, Triangulation — это далеко не первая кампания, направленная на iOS-устройства. Все помнят нашумевшую (и, к сожалению, продолжающую шуметь) историю с использованием коммерческого шпионского ПО Pegasus. Были и другие примеры — INSOMNIA, Predator, Reign. Разумеется, интересуются злоумышленники и мобильной ОС Android. Не так давно в новостях писали об атаке группировки Transparent Tribe, применявшей бэкдор CapraRAT против индийских и пакистанских пользователей этой системы. А в третьем квартале прошлого года мы обнаружили ранее неизвестное шпионское приложение, нацеленное на пользователей, говорящих на фарси.

Все это говорит о том, что для защиты современной компании от APT-атак необходимо обеспечивать безопасность не только стационарного оборудования — серверов и рабочих станций, — но и используемых в работе мобильных устройств.

Как повысить шансы против APT-атак на мобильные устройства

Не стоит считать, что для защиты мобильных устройств достаточно дефолтных защитных технологий, обеспечиваемых производителями устройств. История с Triangulation наглядно показывает, что даже технологии Apple не идеальны. Поэтому мы рекомендуем обязательно применять многоуровневую систему защиты, включающую тщательный контроль не только самих мобильных устройств, но и их сетевых взаимодействий.

Первой линией обороны должно стать решение класса MDM. Наш вариант, Kaspersky Secure Mobility Management, позволит обеспечить автоматизированное управление жизненным циклом устройств, прозрачность инфраструктуры и централизованное управление политиками и настройками мобильной ОС. Кроме того, решение обеспечивает защиту от вредоносных программ (на Android; Apple, к сожалению, не допускает работу сторонних антивирусных решений), фишинга и веб-угроз.

В частности, для обнаружения Android-угроз в нашем решении работает технология Cloud ML for Android. Данная технология, работающая в облаке KSN, основана на методах машинного обучения. Модель, обученная на миллионах известных вредоносных Android-приложений, с высокой точностью определяет в том числе и ранее неизвестное вредоносное ПО.

Однако мобильные угрозы эволюционируют достаточно быстро, а их создатели прикладывают множество усилий для того, чтобы сделать их максимально незаметными. Поэтому для своевременного обнаружения вредоносной активности имеет смысл применять систему управления событиями и информацией о безопасности (SIEM). В частности, Triangulation была обнаружена нашими экспертами в процессе мониторинга корпоративной Wi-Fi-сети для мобильных устройств нашей SIEM-системой Kaspersky Unified Monitoring and Analysis Platform (KUMA). Кроме того, наши решения из линейки Threat Intelligence способны обеспечить защитные системы и экспертов оперативной информацией о новых угрозах, а также техниках, тактиках и процедурах злоумышленников.