Slepenības evolūcija: Coruna ietvara sasaiste ar operāciju Triangulation
Nepieciešamas vidēji 277 dienas, lai identificētu un ierobežotu datu aizsardzības pārkāpumu, taču operācijas Triangulation upuriem klusums ilga gadiem. Kad Kaspersky 2023. gadā pirmo reizi pamanīja anomālu trafiku savā korporatīvajā Wi-Fi tīklā, viņi ne tikai saskārās ar nelielu pārkāpumu; viņi uzgāja pavedienu, kas galu galā atšķetināja vienu no sarežģītākajām iOS špionāžas kampaņām vēsturē. Tagad jauni pierādījumi liecina, ka Triangulation rēgs nav izgaisis — tas ir evolucionējis ietvarā, kas pazīstams kā Coruna.
Kopīga izcelsme kodā
No tehniskā viedokļa Google Draudu analīzes grupas (TAG) un iVerify atklātais Coruna ekspluatācijas ietvars sākotnēji šķita atsevišķs, lai arī satraucošs notikums. Coruna tika novērota reālos uzbrukumos, mērķējot uz iPhone tālruņiem, izmantojot "watering-hole" uzbrukumus Ukrainā un finansiāli motivētas kampaņas Ķīnā. Tomēr aizkulisēs arhitektoniskās līdzības bija pārāk uzkrītošas, lai tās ignorētu.
Kaspersky pētnieki nesen ieguva un atšifrēja aktīvas Coruna izplatīšanas saites, un tiesu ekspertīzes pierādījumi ir pārsteidzoši. Viens no Coruna primārajiem kodola ekspluatiem, kas izmanto CVE-2023-32434 un CVE-2023-38606, būtībā ir noslīpēta, atjaunināta versija tam pašam ekspluatam, kas tika izmantots oriģinālajā operācijā Triangulation. Citiem vārdiem sakot, ja operācija Triangulation bija pēc pasūtījuma būvēts dzinējs, Coruna ir augstas veiktspējas pēctecis, kas uzbūvēts tajā pašā rūpnīcā, izmantojot tos pašus rasējumus.
Evolūcijas anatomija
Praksē Coruna ir daudz vairāk nekā vienkāršs "copy-paste" darbs. Lai gan tam ir kopīgs priekšteča DNS, tas ir izaudzis par daudzpusīgu rīku kopu. Analīze atklāja četrus papildu kodola ekspluatus ietvarā, kas nekad netika redzēti oriģinālajā Triangulation kampaņā. Interesanti, ka divi no tiem tika izstrādāti pēc tam, kad informācija par operāciju Triangulation tika publiskota.
Tas liecina par izturīgu un proaktīvu izstrādes komandu. Novērtējot uzbrukuma virsmu, šie dalībnieki ne tikai pārstrādā vecos trikus; viņi aktīvi uzrauga drošības vidi un izstrādā jaunus veidus, kā apiet mūsdienu iOS aizsardzību. Neskatoties uz mērķēšanu uz dažādām ievainojamībām, visi pieci Coruna komplekta ekspluati izmanto kopīgu koda bāzi un vienotu kodola ekspluatācijas ietvaru. Šī konsekvence norāda uz sistēmisku izstrādes darbu, nevis nekārtīgu rīku kolekciju.
Kāpēc iOS joprojām ir augstvērtīgs mērķis
No galalietotāja perspektīvas pastāv izplatīts mīts, ka iOS "norobežotais dārzs" (walled garden) ir neieņemams. Realitātē augstais aparatūras un programmatūras integrācijas līmenis padara to par premium mērķi sarežģītiem APT (Advanced Persistent Threat) dalībniekiem. Ja ievainojamība tiek atrasta arhitektūras līmenī, kā tas redzams ar aparatūras bāzētajām apiešanas metodēm Triangulation gadījumā, tā nodrošina slepenu un visaptverošu piekļuvi, kuru ir neticami grūti atklāt.
Es atceros, kā pirms dažiem gadiem analizēju līdzīgu mērķtiecīgu uzbrukumu, kurā upuris bija pārliecināts, ka viņa ierīce ir drošībā tikai tāpēc, ka viņš nebija noklikšķinājis uz nevienas aizdomīgas saites. Mūsdienu "zero-click" ekspluatu realitāte ir daudz bīstamāka. Līdzīgi kā digitālais Trojas zirgs, šie ekspluati nonāk ierīcē caur neredzamiem trigeriem — iMessage pielikumu, kas nekad neizraisa paziņojumu, vai kompromitētas, bet leģitīmas tīmekļa vietnes apmeklējumu. Nokļūstot iekšā, ļaunprogrammatūra darbojas kā kluss "skvoteri", eksfiltrējot sensitīvus datus, vienlaikus paliekot pilnīgi neredzama lietotājam.
Riska vides novērtēšana
Aplūkojot draudu vidi, pāreja no operācijas Triangulation uz Coruna izceļ virzību uz mērogojamiem, modulāriem ekspluatācijas komplektiem. Kamēr Triangulation šķita kā individuāli pielāgota operācija, Coruna šķiet izstrādāta plašākai izplatīšanai dažādos ģeogrāfiskajos reģionos un ar dažādiem motīviem — no valsts atbalstītas špionāžas līdz augsta līmeņa finansiāliem noziegumiem.
| Funkcija | Operācija Triangulation | Coruna ietvars |
|---|---|---|
| Galvenie mērķi | Diplomātiskie/Valdības | Ukraina (Watering hole), Ķīna (Finansiāli) |
| Galvenās ievainojamības | CVE-2023-32434, CVE-2023-38606 | Kopīgs kodols + 4 jauni kodola ekspluati |
| Slepenības līmenis | Ārkārtīgi augsts (Zero-click) | Augsts (Watering hole/Mērķtiecīgs) |
| Koda bāze | Oriģinālais prototips | Uzlabota, modulāra evolūcija |
Būtībā draudu izpildītāji ir pārgājuši no viena kritiski svarīga rīka uz stabilu, atkārtoti lietojamu platformu. Tas ievērojami apgrūtina incidentu reaģēšanas speciālistu darbu, jo kompromitēšanas indikatori (IoCs) pastāvīgi mainās, pat ja pamatā esošais ietvars paliek nemainīgs.
Proaktīva aizsardzība nulles dienas pasaulē
Atstājot malā ielāpu instalēšanu, kā aizsargāties pret ietvaru, kas izstrādāts, lai apietu pašus mobilās drošības pamatus? No privātuma viedokļa atbilde meklējama daudzslāņu aizsardzības stratēģijā. Mēs bieži runājam par "cilvēka ugunsmūri", taču, saskaroties ar "zero-click" ekspluatiem, cilvēka faktors bieži tiek pilnībā apiets.
Tā vietā mums uz drošību jāraugās kā uz virkni granulētu šķēršļu. Organizācijām tas nozīmē stingras mobilo ierīču pārvaldības (MDM) politikas ieviešanu un tāda veida anomāla tīkla trafika uzraudzību, kas pirmo reizi pētniekiem lika aizdomāties par Triangulation. Personām tas nozīmē veselīgu paranojas līmeni attiecībā uz ierīču atjauninājumiem un tādu funkciju izmantošanu kā Apple Lockdown Mode, ja piederat pie augsta riska kategorijas (piemēram, žurnālisti, aktīvisti vai valdības darbinieki).
Noslēguma domas un veicamie soļi
Galu galā saikne starp Coruna un operāciju Triangulation kalpo kā nopietns atgādinājums, ka sarežģīti draudi reti izzūd; tie vienkārši piedzīvo metamorfozi. Šo rīku autori ir labi finansēti, pacietīgi un tehniski izcili. Viņi neuztver šifrēšanu kā šķērsli, bet gan kā izaicinājumu, kas jāapiet kodola līmenī.
Lai aizsargātu savu digitālo perimetru, apsveriet šādus veicamos soļus:
- Iespējojiet Lockdown Mode: Ja esat augsta līmeņa mērķis, šī funkcija ievērojami samazina jūsu iPhone uzbrukuma virsmu, atspējojot sarežģītas tīmekļa tehnoloģijas un ziņojumapmaiņas funkcijas.
- Auditējiet tīkla trafiku: Izmantojiet rīkus, lai uzraudzītu neparastus izejošos savienojumus no mobilajām ierīcēm, īpaši uz nezināmām IP adresēm vai domēniem.
- Regulāri restartējiet ierīci: Lai gan tas nav universāls līdzeklis pret pastāvīgiem draudiem, daudzi iOS implanti nav pastāvīgi un tos var notīrīt ar vienkāršu restartēšanu.
- Ievērojiet stingru atjauninājumu higiēnu: Nodrošiniet, lai visās ierīcēs tiktu instalēta jaunākā iOS versija tūlīt pēc tās izlaišanas, jo šie atjauninājumi bieži satur klusus ielāpus ievainojamībām, kas tiek izmantotas reālos uzbrukumos.
Augsta riska kiberšpionāžas pasaulē palikšana vienu soli priekšā nav saistīta tikai ar izmantoto programmatūru — runa ir par plēsoņu evolūcijas izpratni digitālajā ekosistēmā.
Avoti:
- Kaspersky Global Research and Analysis Team (GReAT) tehniskie ziņojumi
- Google Threat Analysis Group (TAG) drošības biļeteni
- iVerify draudu izlūkošanas analīze
- CVE Mitre datubāze
Uz tikšanos otrā pusē.
Mūsu end-to-end šifrētais e-pasta un mākoņdatu glabāšanas risinājums nodrošina visefektīvākos līdzekļus drošai datu apmaiņai, garantējot jūsu datu drošību un konfidencialitāti.
/ Izveidot bezmaksas kontu
