قال مسؤولو الشركة إن شركة الأمن Kaspersky التي تتخذ من موسكو مقراً لها تعرضت لهجوم إلكتروني متقدم استخدم عمليات استغلال بدون نقر لإصابة أجهزة iPhone الخاصة بالعشرات من الموظفين ببرامج ضارة تجمع تسجيلات الميكروفون والصور وتحديد الموقع الجغرافي وبيانات أخرى.
كتب يوجين كاسبيرسكي ، مؤسس الشركة ، في بريد نشرت يوم الخميس. “ستجلب الأيام المقبلة مزيدًا من الوضوح والمزيد من التفاصيل حول الانتشار العالمي لبرامج التجسس.”
وفقًا لمسؤولين داخل مركز التنسيق الوطني الروسي لحوادث الكمبيوتر ، كانت الهجمات جزءًا من حملة أوسع من قبل وكالة الأمن القومي الأمريكية أصابت عدة آلاف من أجهزة iPhone التابعة لأشخاص داخل البعثات الدبلوماسية والسفارات في روسيا ، وتحديداً من تلك الموجودة في دول الناتو. ودول ما بعد الاتحاد السوفيتي وإسرائيل والصين. زعم تنبيه منفصل من FSB ، جهاز الأمن الفيدرالي الروسي ، أن شركة آبل تعاونت مع وكالة الأمن القومي في الحملة. ونفى ممثل شركة آبل هذا الادعاء.
سوف يؤدي استغلال APT غير القابل للنقر إلى التدمير الذاتي
تم تسليم البرنامج الضار ، الذي تم استخدامه ضد موظفي Kaspersky لمدة أربع سنوات على الأقل ، في نصوص iMessage التي أرفقت ملفًا ضارًا استغل تلقائيًا واحدة أو أكثر من نقاط الضعف دون مطالبة المتلقي باتخاذ أي إجراء. وبذلك ، أصيبت الأجهزة بما يقوم به باحثو كاسبرسكي وصفها “كمنصة APT كاملة الميزات.” APT اختصار للتهديد المستمر المتقدم ويشير إلى الجهات الفاعلة في التهديد بموارد غير محدودة تقريبًا تستهدف الأفراد على مدى فترات طويلة من الزمن. يتم دعم APTs دائمًا من قبل الدول القومية.
بمجرد تثبيت البرنامج الضار APT ، تم حذف الرسالة النصية الأولية التي بدأت سلسلة العدوى. في منشور يوم الخميس ، كتب يوجين كاسبيرسكي:
يتم تنفيذ الهجوم باستخدام iMessage غير مرئي مع مرفق ضار ، والذي يتم تنفيذه على الجهاز باستخدام عدد من نقاط الضعف في نظام التشغيل iOS ويقوم بتثبيت برامج التجسس. يتم إخفاء نشر برامج التجسس تمامًا ولا يتطلب أي إجراء من المستخدم. علاوة على ذلك ، ينقل برنامج التجسس أيضًا بهدوء المعلومات الخاصة إلى الخوادم البعيدة: تسجيلات الميكروفون ، والصور من برامج المراسلة الفورية ، وتحديد الموقع الجغرافي ، وبيانات حول عدد من الأنشطة الأخرى لمالك الجهاز المصاب.
يتم تنفيذ الهجوم بأكبر قدر ممكن من السرية ، ومع ذلك ، تم اكتشاف حقيقة الإصابة بواسطة Kaspersky Unified Monitoring and Evaluation Platform (KUMA) ، وهو حل SIEM أصلي لإدارة المعلومات والأحداث ؛ اكتشف النظام حالة شاذة في شبكتنا قادمة من أجهزة Apple. أظهر تحقيق إضافي أجراه فريقنا أن عدة عشرات من أجهزة iPhone لموظفينا أصيبت ببرنامج تجسس جديد ومتطور للغاية من الناحية التكنولوجية أطلقنا عليه اسم “التثليث”.
حصلت عملية Triangulation على اسمها لأن البرامج الضارة تستخدم تقنية تُعرف باسم البصمات القماشية لاكتشاف الأجهزة والبرامج التي تم تجهيز الهاتف بها. قال يوجين كاسبيرسكي ، خلال هذه العملية ، “ترسم البرامج الضارة مثلثًا أصفر في ذاكرة الجهاز”.
قال باحثو كاسبرسكي إن الآثار الأولى لعدوى التثليث تعود إلى عام 2019 ، واعتبارًا من يونيو 2023 ، كانت الهجمات مستمرة. أحدث إصدار من نظام التشغيل iOS تم استهدافه بنجاح هو 15.7 ، والذي كان ساريًا اعتبارًا من الشهر الماضي. قال ممثل Kaspersky في رسالة بريد إلكتروني إنه ليس من الواضح ما إذا كانت أي من الثغرات الأمنية لم تكن معروفة لشركة Apple ولم يتم إصلاحها في نظام التشغيل iOS في الوقت الذي تم استغلالها فيه. ليس من الواضح ما إذا كانت Kaspersky قد اكتشفت الإصابات قبل طرح نظام التشغيل iOS 16 الشهر الماضي أو ما إذا كانت هواتف Kaspersy استمرت في استخدام الإصدار الأقدم. لاحظ أحد ممثلي شركة Apple أنه لا يوجد ما يشير في حساب Kaspersky إلى أن أيًا من الثغرات تعمل على إصدارات iOS أحدث من 15.7.
في رسالة بريد إلكتروني ، كتب ممثل Kaspersky:
خلال الجدول الزمني للهجوم ، كانت الثغرات الأمنية ليوم واحد ذات مرة ثغرات يوم الصفر. على الرغم من عدم وجود مؤشر واضح على استغلال نفس الثغرات الأمنية سابقًا ، إلا أنه من الممكن تمامًا.
حتى وقت كتابة هذا التقرير ، تمكنا من تحديد واحدة من العديد من الثغرات الأمنية التي تم استغلالها وهي على الأرجح CVE-2022-46690. ومع ذلك ، نظرًا لتطور حملة التجسس الإلكتروني وتعقيد تحليل منصة iOS ، فإن المزيد من البحث سيكشف بالتأكيد المزيد من التفاصيل حول هذه المسألة. سنقوم بتحديث المجتمع حول النتائج الجديدة بمجرد ظهورها.
قال باحثو كاسبرسكي إن مجموعة الأدوات الخبيثة غير قادرة على اكتساب الثبات ، مما يعني أنها لا تنجو من عمليات إعادة التشغيل. قال ممثل Kaspersky في رسالة بريد إلكتروني إن الضحايا تلقوا عمليات استغلال بدون نقرة مرة أخرى بعد إعادة التشغيل. من المحتمل أنه في الأيام أو الأسابيع المقبلة ، ستقدم الشركة مزيدًا من التفاصيل الفنية حول البرامج الضارة وأهداف الحملة وأصولها.
روسيا تتهم شركة أبل بالتواطؤ مع وكالة الأمن القومي
تزامنت منشورات Kasperky مع واحدة من FSB ، جهاز الأمن الفيدرالي الروسي ، يدعي أنها “كشفت عن عملية استطلاعية نفذتها أجهزة المخابرات الأمريكية باستخدام أجهزة” آبل “النقالة. وقال مسئولون في الوكالة الروسية إنهم اكتشفوا أثناء سير المراقبة الأمنية العادية إصابة” عدة آلاف من أجهزة الهاتف “. واتهم المنشور شركة آبل بارتكاب إصابة. المساعدة في العملية المزعومة لوكالة الأمن القومي.
“وهكذا ، فإن المعلومات التي تلقتها أجهزة المخابرات الروسية تشهد على التعاون الوثيق للشركة الأمريكية Apple مع مجتمع المخابرات الوطني ، ولا سيما وكالة الأمن القومي الأمريكية ، وتؤكد أن السياسة المعلنة لضمان سرية البيانات الشخصية لمستخدمي Apple وكتب المسؤولون ان الأجهزة ليست صحيحة “. لم يقدموا تفاصيل أو أدلة إضافية لدعم الادعاءات.
في رسالة بريد إلكتروني ، نفى أحد ممثلي شركة Apple هذا الادعاء ، قائلاً: “لم نعمل أبدًا مع أي حكومة لإدخال باب خلفي في أي منتج من منتجات Apple ولن نفعل ذلك أبدًا”.
أ بريد نشره مركز التنسيق الوطني الروسي لحوادث الكمبيوتر ، مع ذلك ، ربط تنبيه FSB بهجوم Kaspersky بشكل مباشر. كتب أحد ممثلي Kaspersky في رسالة بريد إلكتروني: “على الرغم من عدم وجود تفاصيل فنية حول ما تم الإبلاغ عنه من قبل FSB حتى الآن ، فإن مركز التنسيق الوطني الروسي لحوادث الكمبيوتر (NCCCI) قد ذكر بالفعل في تنبيهه العام أن مؤشرات التسوية هي نفسها “. وقال ممثل وكالة الأمن القومي إن الوكالة ليس لديها تعليق على المزاعم. لم يرد ممثلو Apple بعد على رسائل البريد الإلكتروني التي تطلب الرد.
هذه ليست المرة الأولى التي يتم فيها اختراق Kaspersky بنجاح في حملة APT. في عام 2014 ، اكتشفت الشركة ذلك أصابت البرمجيات الخبيثة شبكتها لأشهر قبل أن يتم الكشف عنها. بينما بذل المهاجم جهدًا لإخفاء أصول العدوى ، قال كاسبيرسكي إن البرنامج الضار في ذلك الهجوم كان نسخة محدثة من دوكو، الذي تم اكتشافه في أواخر عام 2011 برمز مشتق مباشرة من Stuxnet. اقترحت الأدلة في وقت لاحق تم استخدام دوكو للتجسس على جهود إيران لتطوير مواد نووية و مراقبة العلاقات التجارية للبلاد.
كتب يوجين كاسبيرسكي في منشور يوم الخميس: “نحن ندرك جيدًا أننا نعمل في بيئة عدوانية للغاية وقد طورنا إجراءات مناسبة للاستجابة للحوادث”. “بفضل التدابير المتخذة ، تعمل الشركة بشكل طبيعي ، ولا تتأثر العمليات التجارية وبيانات المستخدم ، وتم تحييد التهديد.”
