俄罗斯指责NSA利用苹果后门监控境内iPhone，中国大使馆亦受影响|新视野

俄罗斯联邦安全局、国家CERT、卡巴斯基昨日分别发布消息，披露了一起针对俄iPhone用户的网络间谍事件；

【资料图】

卡巴斯基报告称，未知攻击者利用苹果零日漏洞，在员工iPhone上安装远控软件，莫斯科及多国分部员工均受影响，并公开了多个IoC信息；

俄联邦安全局公告称，美国情报部门利用苹果提供的漏洞监控了数千台iPhone设备，受害者包括俄罗斯公民，以色列、中国及多个北约成员国外交人员；

俄罗斯CERT发布警报，将这两份报告归并为一起事件。

前情回顾·抓住美国网络攻击的马脚

攻击渗透我国基础设施！美国NSA网络攻击西工大细节公布

美国主战网络攻击武器曝光：世界重要信息基础设施已成美“情报站”

我国航空业已成境外情报机构网络攻击的重点目标

美国黑客组织对中国多家重要敏感单位实施网络攻击

安全内参6月2日消息，俄罗斯网络安全公司卡巴斯基披露，内部网络上有一些iPhone遭到黑客利用零日漏洞入侵，攻击者使用iMessage零点击漏洞安装了恶意软件。

苹果iMessage收发消息时存在一个漏洞，无需任何用户交互就能执行任意代码，攻击者可借此远程下载安装其他恶意软件。

随后，发送的消息和附件都被从设备中擦除，但有效载荷继续保留在后台，以root权限运行，收集系统和用户信息并执行攻击者发出的命令。

卡巴斯基表示，这一行为开始于2019年，攻击活动当前仍在继续。卡巴斯基将其命名为“Operation Triangulation”，并号召更多知情人士分享相关信息。

卡巴斯基分析恶意软件

由于无法直接在设备上对iOS系统做分析，卡巴斯基使用移动设备验证工具包MVT为受感染iPhone创建了文件系统备份，旨在还原攻击过程和恶意软件软件的功能信息。

虽然该恶意软件试图从设备上删除攻击痕迹，但仍有部分感染迹象会被保留下来，例如通过修改系统文件阻止iOS安装更新、异常数据使用、注入已被弃用的库等。

分析显示，感染的最初迹象出现在2019年，当时被该恶意软件工具集感染的最新iOS版本为15.7。

图：恶意加密附件

请注意，目前iOS版本已升级至16.5，可能已经修复了恶意软件攻击所利用的漏洞。

受害者的iMessage收到漏洞利用消息，将触发iOS中某个未知漏洞以执行代码，进而从攻击者的服务器获取后续操作，包括权限提升漏洞。

卡巴斯基公司发布了与该恶意活动相关的15个域名，企业安全人员可以使用这份清单检查历史DNS日志，查找内部设备是否存在被利用的迹象。

图：攻击的网络利用序列

在获得root权限升级后，恶意软件会下载一套功能齐全的工具集，该工具集可执行收集系统和用户信息、从C2下载其他模块的命令。

卡巴斯基指出，被投放到设备上的APT工具集缺乏持久性机制，因此重启系统就可以有效阻止。

目前仅公开了该恶意软件的部分功能细节，对最终有效载荷的分析仍在进行当中。

俄罗斯情报部门指责NSA发动攻击

同日，俄罗斯情报与安全部门联邦安全局（FSB）也发布声明，称苹果公司故意向美国国家安全局提供后门，用来在俄国内iPhone上传播间谍软件。

俄联邦安全局指出，它已经发现数千部感染了恶意软件的苹果iPhone设备，这些手机的使用者包括俄罗斯政府官员，以及以色列、中国与几个北约成员国驻俄罗斯大使馆的工作人员。

尽管指控内容相当严重，但联邦安全局没有提供任何实质性证据。

俄罗斯政府此前曾建议，所有中央政府成员和机构雇员停止使用苹果iPhone，并在可能的情况下彻底弃用美国制造的技术产品。

卡巴斯基表示，此次攻击还影响到其莫斯科总部及其他多国的员工。尽管如此，卡巴斯基称尚无法证明当前发现与联邦安全局报告之间的联系，因为他们没有看到政府调查的技术细节。

不过在同一天，俄罗斯计算机应急响应小组（RU-CERT）发布警报，将联邦安全局的声明同卡巴斯基的报告关联了起来。

苹果公司回应称，卡巴斯基并未表示发现的漏洞会对iOS 15.7之后的版本有效，当前的苹果iPhone系统版本为16.5。

美国国家安全局拒绝就此事发表评论。

参考资料：bleepingcomputer.com

标签：