Инструкция: как проверить свой iPhone на следы компрометации

«Лаборатория Касперского» разработала triangle_check — инструмент для самостоятельной проверки iOS-устройств на следы компрометации в рамках вредоносной кампании Operation Triangulation («Операция Триангуляция»).

Подробнее о незаметном внедрении нового шпионского модуля в iPhone компания рассказывала 1 июня. Тогда «Лаборатория Касперского» заявила о целевой кибератаке на менеджмент компании и об опасности распространения «троянского треугольника».

Активность, наблюдаемая в «Операции Триангуляция», не пересекается с уже известными шпионскими ПО для взлома iOS по типу Pegasus, Predator или Reign.

С помощью утилиты triangle_check можно запустить автоматический поиск следов заражения. Пользователи для этого должны скачать triangle_check с GitHub на компьютер, запустить и проверить с его помощью резервную копию iOS-устройства.

Инструкция

Создание резервной копии:

Windows

• Подключите устройство к ПК с установленным iTunes. Разблокируйте устройство и при необходимости подтвердите, что подключенному ПК можно доверять.

• Устройство должно отображаться в левой панели iTunes. Правой кнопкой мыши нажмите на имя устройства и выберите «Создать резервную копию».

• Созданная резервная копия будет храниться в директории:

%appdata%\Apple Computer\MobileSync\Backup

macOS

• Подключите устройство к ПК (с macOS Catalina 10.15 и выше) и при необходимости подтвердите доверие.

• Устройство должно отображаться в левой панели Finder. Выберите его и нажмите «Создать резервную копию сейчас».

Созданная резервная копия будет храниться в директории:

~/Library/Application Support/MobileSync/Backup/

На версиях macOS до 10.15 резервную копию можно сделать через iTunes. Процесс её создания такой же, как на Windows.

Linux

• Установите библиотеку libimobiledevice. Для создания резервных копий iOS-устройств нужно скомпилировать её из исходного кода (по сборке находятся в разделе Installation/Getting Started).

• После установки библиотеки и подключения устройства к ПК резервную копию можно создать командой (возможно потребуется несколько раз ввести код-пароль на устройстве):

idevicebackup2 backup --full <директория, в которую будет сохранена копия>

Использование утилиты triangle_check:

После создания резервной копии следует воспользоваться одним из методов для установки и запуска утилиты.

Универсальный метод для всех ОС — Python-пакет

Python-пакет triangle_check опубликован в глобальном репозитории Python Package Index (PyPI). Установить его можно при помощи системы управления пакетами pip.

1. Необходимо иметь подключение к интернету и наличие утилиты pip на ПК — она доступна по ссылке.
2. Найдите на указанной странице пункт get-pip.py и следуйте инструкции по установке.

— Для установки Python-пакета triangle_check из репозитория PyPI введите:

python -m pip install triangle_check

— Для ручной сборки и установки из GitHub-репозитория введите:

git clone https://github.com/KasperskyLab/triangle_check
cd triangle_check
python -m build
python -m pip install dist/triangle_check-1.0-py3-none-any.whl

— Для использования Python-пакета triangle_check введите:

python -m triangle_check <путь до созданной резервной копии>

При использовании пакета на macOS возможно появление ошибки «MobileSync: Operation not permitted». Это связано с тем, что у утилиты терминала нет доступа к папке, где хранится созданная резервная копия. Для этого следует предоставить Full Disk Access программе Terminal. Подробнее по ссылке.

Бинарные сборки

Windows:

• Скачайте архив triangle_check_win.zip из последней опубликованной версии на GitHub и распакуйте его.

• Запустите интерпретатор командной строки cmd.exe или PowerShell.

• Перейдите в директорию, в которую был распакован архив. Например:

cd %userprofile%\Downloads\triangle_check_win

• Вызовите бинарную утилиту triangle_check.exe. Например:

triangle_check.exe "%appdata%\Apple
Computer\MobileSync\Backup\00008101-000824411441001E-
20230530-143718"

Linux:

• Скачайте архив triangle_check_linux.zip из последней опубликованной версии на GitHub и распакуйте его.

• Запустите терминал (командная строка).

• Перейдите в директорию, в которую был распакован архив. Например:

cd ~/Downloads/triangle_check_linux

• Установите разрешение на запуск файла:

chmod +x triangle_check

• Вызовите бинарную утилиту triangle_check. Например:

./triangle_check ~/Desktop/my_backup/00008101-
000824411441001E-20230530-143718

Интерпретация результатов.

• Утилитой выведен результат «DETECTED» — обнаружены конкретные индикаторы компрометации. Это означает, что устройство было заражено.

• Утилитой выведен результат «SUSPICION» — обнаружены совокупности менее однозначных индикаторов, указывающих на заражение.

• Утилитой выведен результат «No traces of compromise were identified» — следы заражения Operation Triangulation не найдены.