Nematomumo evoliucija: „Coruna“ karkaso susiejimas su operacija „Triangulation“
Vidutiniškai prireikia 277 dienų duomenų saugumo pažeidimui nustatyti ir suvaldyti, tačiau operacijos „Triangulation“ aukų atveju tyla truko ne vienerius metus. Kai 2023 m. „Kaspersky“ pirmą kartą pastebėjo anomalų srautą savo įmonės „Wi-Fi“ tinkle, jie susidūrė ne tik su nedideliu pažeidimu; jie užčiuopė giją, kuri galiausiai išpainiojo vieną sudėtingiausių „iOS“ šnipinėjimo kampanijų istorijoje. Dabar nauji įrodymai rodo, kad „Triangulation“ šmėkla neišnyko – ji evoliucionavo į karkasą, žinomą kaip „Coruna“.
Bendras protėvis kode
Techniniu požiūriu „Google“ grėsmių analizės grupės (TAG) ir „iVerify“ atrastas „Coruna“ išnaudojimo karkasas iš pradžių atrodė kaip atskiras, nors ir susirūpinimą keliantis įvykis. „Coruna“ buvo pastebėta realiomis sąlygomis, kai per „watering-hole“ atakas Ukrainoje ir finansiškai motyvuotas kampanijas Kinijoje buvo taikomasi į „iPhone“ telefonus. Tačiau užkulisiuose architektūriniai panašumai buvo per daug akivaizdūs, kad juos būtų galima ignoruoti.
„Kaspersky“ tyrėjai neseniai gavo ir iššifravo aktyvias „Coruna“ platinimo nuorodas, o teismo ekspertizės įrodymai yra stulbinantys. Vienas iš pagrindinių „Coruna“ branduolio išnaudojimų (exploits), kuriame naudojami CVE-2023-32434 ir CVE-2023-38606, iš esmės yra nušlifuota, atnaujinta tos pačios klaidos, naudotos originalioje operacijoje „Triangulation“, versija. Kitaip tariant, jei operacija „Triangulation“ buvo pagal užsakymą sukonstruotas variklis, tai „Coruna“ yra didelio našumo įpėdinis, sukurtas toje pačioje gamykloje pagal tuos pačius brėžinius.
Evoliucijos anatomija
Praktikoje „Coruna“ yra kur kas daugiau nei paprastas kopijavimo ir įklijavimo darbas. Nors ji dalijasi savo pirmtako DNR, ji išaugo į daugialypį įrankių rinkinį. Analizė atskleidė keturis papildomus branduolio išnaudojimus karkase, kurie niekada nebuvo matyti originalioje „Triangulation“ kampanijoje. Įdomu tai, kad du iš jų buvo sukurti jau po to, kai operacijos „Triangulation“ detalės buvo paviešintos.
Tai rodo atsparią ir iniciatyvią kūrėjų komandą. Vertinant atakos paviršių, šie veikėjai ne tik perdirba senus triukus; jie aktyviai stebi saugumo situaciją ir kuria naujus būdus, kaip apeiti šiuolaikinę „iOS“ apsaugą. Nepaisant to, kad taikomasi į skirtingus pažeidžiamumus, visi penki „Coruna“ rinkinio išnaudojimai dalijasi bendra kodo baze ir vieningu branduolio išnaudojimo karkasu. Toks nuoseklumas rodo sistemingas kūrimo pastangas, o ne netvarkingą įrankių rinkinį.
Kodėl „iOS“ išlieka aukštos vertės taikiniu
Žvelgiant iš galutinio vartotojo perspektyvos, vyrauja klaidinga nuomonė, kad „iOS“ „aptvertas sodas“ (walled garden) yra neįveikiamas. Tikrovėje aukštas aparatinės ir programinės įrangos integravimo lygis daro ją aukščiausios klasės taikiniu sudėtingiems APT (Advanced Persistent Threat) veikėjams. Kai pažeidžiamumas randamas architektūriniame lygmenyje, kaip matyti iš technine įranga pagrįstų apėjimų „Triangulation“ atveju, tai suteikia slaptą ir visur esantį įsitvirtinimą, kurį neįtikėtinai sunku aptikti.
Prisimenu, kaip prieš kelerius metus analizavau panašią tikslinę ataką, kurios auka buvo įsitikinusi, kad jos įrenginys saugus vien todėl, kad ji nepaspaudė jokių įtartinų nuorodų. Šiuolaikinių „nulinio spustelėjimo“ (zero-click) išnaudojimų realybė yra daug pavojingesnė. Kaip skaitmeninis Trojos arklys, šie išnaudojimai atkeliauja per nematomus dirgiklius – „iMessage“ priedą, kuris niekada nesukelia pranešimo, arba apsilankymą pažeistoje, bet teisėtoje svetainėje. Patekę į vidų, kenkėjiška programa veikia kaip tylus „nuomininkas“, išgaunantis jautrius duomenis ir išlikdamas visiškai nematomas vartotojui.
Rizikos kraštovaizdžio vertinimas
Žvelgiant į grėsmių kraštovaizdį, perėjimas nuo operacijos „Triangulation“ prie „Coruna“ pabrėžia posūkį link keičiamo masto, modulinių išnaudojimo rinkinių. Nors „Triangulation“ atrodė kaip individuali operacija, „Coruna“ atrodo sukurta platesniam platinimui skirtinguose geografiniuose regionuose ir esant įvairioms motyvacijoms – nuo valstybės remiamo šnipinėjimo iki aukšto lygio finansinių nusikaltimų.
| Funkcija | Operacija „Triangulation“ | „Coruna“ karkasas |
|---|---|---|
| Pagrindiniai taikiniai | Diplomatiniai / vyriausybiniai | Ukraina („Watering hole“), Kinija (finansiniai) |
| Pagrindiniai pažeidžiamumai | CVE-2023-32434, CVE-2023-38606 | Bendra šerdis + 4 nauji branduolio išnaudojimai |
| Nematomumo lygis | Itin aukštas (be spustelėjimo) | Aukštas („Watering hole“ / tikslinis) |
| Kodo bazė | Originalus prototipas | Ištobulinta, modulinė evoliucija |
Iš esmės grėsmių sukėlėjai perėjo nuo vieno kritiškai svarbaus įrankio prie tvirtos, daugkartinio naudojimo platformos. Tai gerokai apsunkina incidentų tyrimo specialistų darbą, nes kompromitavimo indikatoriai (IoC) nuolat keičiasi, net jei pagrindinis karkasas išlieka tas pats.
Aktyvi gynyba „nulinės dienos“ pasaulyje
Atmetus pleistrų (patches) diegimą, kaip apsisaugoti nuo karkaso, skirto apeiti pačius mobiliojo saugumo pagrindus? Žvelgiant iš privatumo perspektyvos, atsakymas slypi sluoksniuotoje gynybos strategijoje. Mes dažnai kalbame apie „žmogiškąją ugniasienę“, tačiau susidūrus su „nulinio spustelėjimo“ išnaudojimais, žmogus dažnai yra visiškai apeinamas.
Vietoj to turime žvelgti į saugumą kaip į eilę detalių kliūčių. Organizacijoms tai reiškia griežtų mobiliųjų įrenginių valdymo (MDM) politikų įgyvendinimą ir tokio anomalio tinklo srauto stebėjimą, kuris pirmiausia ir padėjo tyrėjams aptikti „Triangulation“. Asmenims tai reiškia sveiką paranojos lygį dėl įrenginių atnaujinimų ir tokių funkcijų kaip „Apple“ „Lockdown Mode“ naudojimą, jei priklausote didelės rizikos kategorijai (pavyzdžiui, žurnalistai, aktyvistai ar vyriausybės darbuotojai).
Galutinės mintys ir veiksmai, kurių galima imtis
Galiausiai ryšys tarp „Coruna“ ir operacijos „Triangulation“ yra blaivus priminimas, kad sudėtingos grėsmės retai išnyksta; jos tiesiog patiria metamorfozę. Už šių įrankių stovintys veikėjai yra gerai finansuojami, kantrūs ir techniškai genialūs. Šifravimą jie laiko ne kliūtimi, o iššūkiu, kurį reikia apeiti branduolio lygmeniu.
Norėdami apsaugoti savo skaitmeninį perimetrą, apsvarstykite šiuos veiksmus:
- Įjunkite „Lockdown Mode“: Jei esate aukšto lygio taikinys, ši funkcija gerokai sumažina jūsų „iPhone“ atakos paviršių, išjungdama sudėtingas žiniatinklio technologijas ir pranešimų funkcijas.
- Audituokite tinklo srautą: Naudokite įrankius, skirtus stebėti neįprastus išeinančius ryšius iš mobiliųjų įrenginių, ypač į nežinomus IP adresus ar domenus.
- Reguliariai perkraukite įrenginį: Nors tai nėra vaistas nuo visų nuolatinių grėsmių, daugelis „iOS“ implantų nėra nuolatiniai ir gali būti pašalinti paprasčiausiai perkrovus įrenginį.
- Laikykitės griežtos atnaujinimų higienos: Užtikrinkite, kad visuose įrenginiuose būtų įdiegta naujausia „iOS“ versija iškart po jos išleidimo, nes šiuose atnaujinimuose dažnai būna tylių pleistrų, skirtų pažeidžiamumams, kuriais piktnaudžiaujama realiomis sąlygomis.
Aukštų statymų kibernetinio šnipinėjimo pasaulyje būti vienu žingsniu priekyje reiškia ne tik tai, kokią programinę įrangą naudojate, bet ir tai, kaip suprantate plėšrūnų evoliuciją skaitmeninėje ekosistemoje.
Šaltiniai:
- Kaspersky Global Research and Analysis Team (GReAT) Technical Reports
- Google Threat Analysis Group (TAG) Security Bulletins
- iVerify Threat Intelligence Analysis
- CVE Mitre Database
Iki pasimatymo kitoje pusėje.
Pašto ir debesies saugojimo sprendimas suteikia galingiausias saugaus keitimosi duomenimis priemones, užtikrinančias jūsų duomenų saugumą ir privatumą.
/ Sukurti nemokamą paskyrą
