导 读
卡巴斯基公司一直因揭露俄罗斯和西方国家支持的网络间谍黑客活动而成为新闻头条。现在它揭露了一个隐秘的新入侵活动,而卡巴斯基公司本身就是本次行动的一个目标。
俄罗斯的 FSB 情报部门、俄罗斯联邦安全局发布了 NSA 和 Apple 入侵数千名俄罗斯人的声明。
在最新发布的一份技术报告(https://securelist.com/operation-triangulation/109842/)中,卡巴斯基表示,在今年年初,它在分析了公司自己的企业网络流量后,检测到一组针对 iPhone 的精确攻击。该活动被研究人员称为 Operation Triangulation 并称其“正在进行”,更早的攻击似乎可以追溯到 2019 年,攻击者利用 Apple iOS 操作系统中的多个漏洞试图控制受害者设备。
卡巴斯基表示,攻击链利用“零点击”漏洞通过 Apple 的 iMessage 服务向受害者发送特制消息来入侵目标设备。受害者收到包含恶意附件的邮件,无论受害者是否打开邮件并检查附件,攻击都会开始。然后攻击会将多个漏洞链接在一起使用,让黑客越来越深入地访问目标设备。在原始恶意消息和附件自行删除之前,最终的恶意软件负载会自动下载到受害者的设备上。
就在卡巴斯基披露新的 iOS 黑客活动的同一天,俄罗斯联邦安全局情报部门分别宣布美国国家安全局已经侵入了数千部俄罗斯人的手机。更值得注意的是,FSB 声称 Apple 参与了对 iOS 设备的广泛黑客攻击,并自愿向 NSA 提供漏洞以在其间谍活动中加以利用。
苹果在给《连线》杂志的一份声明中表示,“我们从未与任何政府合作,在任何苹果产品中插入后门,也永远不会。”
当被问及卡巴斯基的报告时,苹果发言人指出,调查结果似乎只与运行 iOS 15.7 及以下版本的 iPhone 有关,当前的 iOS 版本是 16.5。
卡巴斯基表示,它发现的恶意软件一旦重新启动就无法在设备上持续存在,但研究人员表示,他们在某些情况下看到了再次感染的证据。漏洞利用链中使用的漏洞的确切性质仍不清楚,但卡巴斯基表示,其中一个漏洞可能是 Apple 在 12 月修补的内核扩展漏洞 CVE- 2022-46690。
零点击漏洞可以存在于任何平台,但近年来,攻击者和间谍软件供应商专注于在苹果的 iOS 中发现这些漏洞,通常是在 iMessage 中,并利用它们对 iPhone 发起针对性攻击。这部分是因为像 iMessage 这样的服务在 iOS 中为发现漏洞提供了异常肥沃的土壤,而且还因为使用这种方法对 iOS 设备进行的攻击通常很难被受害者检测到。
“卡巴斯基可以说是世界上最好的漏洞利用检测公司之一,它可能被 iOS 零日漏洞攻击了五年,直到现在才被发现。”长期担任 macOS 和 iOS 安全研究员的 Patrick Wardle 说。“这表明检测这些漏洞利用和攻击是多么困难。”
卡巴斯基研究人员在他们的报告中指出,造成这种困难的原因之一是 iOS 的锁定设计,这使得检查操作系统的活动变得非常困难。
“iOS 的安全性一旦遭到破坏,就很难检测到这些攻击。”曾任美国国家安全局工作人员的沃德尔说。与此同时,他补充说,攻击者需要假设任何以卡巴斯基为目标的黑客活动最终都会被发现。
“在我看来,这对于 NSA 攻击来说是草率的。”他说。“但这表明,要么黑客攻击卡巴斯基对攻击者来说非常有价值,要么这可能是其他 iOS 零日攻击的人。如果你只有一个漏洞,你就不会冒着你唯一的 iOS 远程攻击的风险来破解卡巴斯基。”
NSA 拒绝了 WIRED 就 FSB 公告或卡巴斯基的调查结果置评的请求。
随着 iOS 16在 2022 年 9 月的发布,Apple 为移动操作系统引入了一种特殊的安全设置,称为锁定模式,该设置有意限制可用性和对 iMessage 和 Apple WebKit 等服务中可能存在漏洞的功能的访问。目前尚不清楚锁定模式是否会阻止卡巴斯基观察到的攻击。
俄罗斯政府的声明称发现苹果公司与美国情报机构勾结“证明了美国苹果公司与国家情报界,特别是美国国家安全局的密切合作,并证实了苹果宣布确保用户个人数据机密性的政策不是真的。” 一份 FSB 声明称,该声明还补充说,它将允许美国国家安全局和“反俄罗斯活动的合作伙伴”将“白宫感兴趣的任何人”以及美国公民作为目标。
FSB 的声明没有附上所描述的美国国家安全局间谍活动的任何技术细节,也没有任何证据表明苹果在其中勾结。
俄联邦安全局的官方声明(俄语版)
机翻中文版
Apple 历来拒绝向美国执法机构或情报机构提供“后门”或其他漏洞的压力。这种立场在2016 年苹果与联邦调查局的高调摊牌中最为公开地展示了这一立场, 原因是该局要求苹果协助解密圣贝纳迪诺枪手赛义德里兹万法鲁克使用的 iPhone。直到联邦调查局在澳大利亚网络安全公司 Azimuth 的帮助下找到了访问 iPhone 存储的方法后,僵局才结束。
尽管卡巴斯基的声明与 FSB 的声明是在同一天发布的,但卡巴斯基迄今为止并未声称针对该公司的 Operation Triangulation 黑客是在代表 NSA 工作。这家网络安全公司也没有将黑客攻击归因于 Equation Group,Equation Group 是卡巴斯基对国家支持的黑客的称呼,它之前将其与高度复杂的恶意软件联系在一起,包括 Stuxnet 和 Duqu,这些工具被广泛认为是由美国国家安全局和美国盟友创建和部署的。
卡巴斯基在给《连线》杂志的一份声明中确实表示,“鉴于网络间谍活动的复杂性和 iOS 平台分析的复杂性,进一步的研究肯定会揭示有关此事的更多细节。”
美国情报机构和美国盟友有充分的理由想要越过卡巴斯基的肩膀。除了 美国政府多年来警告卡巴斯基与俄罗斯政府有联系外,该公司的研究人员长期以来一直表明他们愿意跟踪和揭露西方政府进行的黑客活动,而西方网络安全公司却没有这样做。
在 2015 年,卡巴斯基透露其自己的网络已被使用 Duqu 恶意软件变体的黑客攻破,暗示与 Equation Group 的关联——因此可能与 NSA 关联。
这段历史,再加上以卡巴斯基为目标的恶意软件的复杂性,我们有充分的理由认为针对卡巴斯基的入侵者可能与政府有联系。
参考链接:https://www.wired.com/story/kaspersky-apple-ios-zero-day-intrusion/
今日安全资讯速递
APT事件
Advanced Persistent Threat
Operation Triangulation:以前未知的恶意软件针对俄罗斯iPhone设备
https://securelist.com/operation-triangulation/109842/
Horabot活动针对美洲讲西班牙语的用户
https://www.infosecurity-magazine.com/news/horabot-campaign-targets-spanish/
朝鲜 ScarCruft 黑客利用 LNK 文件传播 RokRAT
https://thehackernews.com/2023/06/n-korean-scarcruft-hackers-exploit.html
Void Rabisu 的 RomCom 后门揭示了不断变化的APT目标
https://www.infosecurity-magazine.com/news/romcom-backdoor-reveals-shifting/
一般威胁事件
General Threat Incidents
漏洞事件
Vulnerability Incidents
Moxa 修补了可能在 OT 攻击中被利用的 MXsecurity 漏洞(CVE-2023-33235)
https://www.securityweek.com/moxa-patches-mxsecurity-vulnerabilities-that-could-be-exploited-in-ot-attacks/
MXsecurity是一款专为OT环境设计的工业网络安全管理软件。
Faronics 教育软件中发现的严重漏洞
https://www.securityweek.com/critical-vulnerabilities-found-in-faronics-education-software/
Zyxel 客户被敦促修补被利用的漏洞
https://www.infosecurity-magazine.com/news/zyxel-customers-urged-patch/
新的 MOVEit Transfer 零日漏洞在数据窃取攻击中被大量利用
https://therecord.media/moveit-transfer-tool-zero-day-exploited
讲述普通人能听懂的安全故事
原文始发于微信公众号(会杀毒的单反狗):连线:卡巴斯基称新的零点击攻击袭击了卡巴斯基iPhone设备
