Интервью с исследователем «Операции Триангуляция»: какие версии iOS поддаются взлому и как себя обезопасить

В рамках проходящего в Екатеринбурге CyberSecurity Weekend «Коду Дурова» удалось пообщаться с Игорем Кузнецовым, руководителем российского исследовательского центра «Лаборатории Касперского».

Игорь — один из тех, кто непосредственно занимается расследованием вредоносной кампании «Операция Триангуляция», затронувшей iPhone руководителей «Лаборатории Касперского». О ней мы, собственно, с ним и поговорили.

— На данный момент можно ли как-то заподозрить взлом без анализа резервной копии?

— Можно, но не самым простым способом — через анализ трафика. Из самого устройства это в любом случае не увидеть, потому что активность злоумышленников никак не проявляется, остаются только следы.

Если пользователь продвинутый, например, он следит за объёмом трафика, за доменными именами, к которым обращается телефон, то есть контролирует свой канал, то тогда да, это можно увидеть, в том числе ретроспективно. То есть только с использованием каких-то решений, которые анализируют трафик в сети. В любом случае, нужно хорошо разбираться в технической стороне вопроса.

— В первом отчёте о «Триангуляции», опубликованном «Лабораторией Касперского», перечислен список доменов, к которым обращается вредоносное ПО, и их названия в целом ни о чём не говорят даже продвинутому пользователю.

— На самом деле, это мало чего значащий набор из нескольких, по сути, случайных английских слов, склеенных вместе. Можно просто искать именно эти домены.

— А что касается самого трафика, что конкретно утекает?

— Какие именно данные были переданы, сказать невозможно, так как всё шифровано несколько раз. На самом простом уровне — это SSL, вся коммуникация с центром управления идет через SSL. Помимо этого, канал внутри дополнительно зашифрован своим алгоритмом.

— Какие версии iOS на данный момент подвержены эксплоиту?

— Мы точно знаем, что iOS 15 неуязвима для «триангуляции», начиная с версии 15.7.5. Насчёт iOS 16 — всё сложно. Опять же, данные пока предварительные, мы продолжаем исследование эксплоита до конца. Но мы видим, что в его коде есть заготовки под iOS 16. iOS 16.2 — это версия, на которой некоторые эксплоиты перестают работать. Пока у нас нет стопроцентной уверенности, мы не можем говорить однозначно про iOS 16.

— Были ли обнаружены следы того, кто мог быть бенефициаром этой вредоносной кампании?

— Никаких следов нет. Все центры управления находятся на публичных хостингах, то есть это или Amazon, или находится за Cloudflare. Поэтому даже понять, где находятся конечные сервера, невозможно, никаких языковых указаний, ничего подобного в коде не обнаружено. Так как сейчас нет вообще никакого указания, мы считаем это новой APT-группой. Она не имеет пересечений с Pegasus и другими ранее известными атаками на iOS и не только.

— Есть ли сейчас реакция Apple и какое-либо сотрудничество с ней в рамках расследования этой атаки?

— В день релиза, ещё до того, как была опубликована информация, мы отправили часть эксплоитов, которые мы проанализировали, в Apple через их программу безопасности. Нам ответили, и мы сейчас анализируем этот ответ, чтобы дать дополнительную информацию, так как получили от них большое количество вопросов. Мы работаем над тем, чтобы собрать на них ответы.

— Как себя обезопасить от «Триангуляции»? Что нужно сделать, если пользователь чувствует, что находится в зоне риска?

— Если потенциально человек считает, что находится в группе риска, прежде всего нужно убедиться в том, что сейчас вредоносной программы нет, затем заблокировать канал доставки вредоносной программы — отключить iMessage в настройках или переключиться в Lockdown Mode. Этот режим, предположительно, должен остановить заражение, поскольку в нём сильно ограничивается обработка вложений из iMessage.

После этого необходимо установить все последние обновления iOS, убедиться в том, что они установились, и перезагрузить устройство. В актуальных версиях iOS регулярная перезагрузка устройства уничтожает все вредоносные программы, которые находятся в оперативной памяти, при этом способов установиться в постоянную память на данный момент не обнаружено.

— То есть теоретически перезагрузка может спасти и вредонос не воспроизведет себя?

— Мы видели, что на некоторых устройствах после перезагрузки периодически происходило повторное заражение. У особо интересных целей практически моментально.

— Для этого снова использовалась доставка через iMessage?

— Да, именно так. Если устройство является целью и оно перезагружается, мы наблюдали, что в ответ или автоматически, или в ручном режиме, мы это не можем точно определить, приходит следующее сообщение iMessage и снова устройство заражается.

В целом у нас ещё много компонентов атаки, кода, которые нужно проанализировать. Мы продолжим всё это исследовать, описывать, документировать и публиковать информацию.