مرحباً جميعاً، اليوم لدينا أخبار كبيرة ومهمة جداً.
اكتشف خبراء كاسبرسكي هجوماً سيبرانياً مستهدفاً استثنائياً ومعقداً للغاية يستخدم أجهزة Apple المحمولة. الهدف من هذا الهجوم هو إدخال برنامج التجسس بشكل مراوغ في iPhones لموظفي الشركة – سواء كانوا من كبار الإداريين أو منتصف الإدارة.
يتم تنفيذ الهجوم باستخدام رسائل iMessage المخفية مع مرفق ضار، والذي يستغل عدداً من الثغرات في نظام التشغيل iOS ويتم تنفيذه على الجهاز ويقوم بتثبيت برنامج التجسس. يتم إخفاء تنفيذ برنامج التجسس تماماً ولا يتطلب أي إجراء من المستخدم. علاوة على ذلك، يقوم برنامج التجسس بنقل المعلومات الخاصة إلى خوادم بعيدة بصورة هادئة: تسجيلات الميكروفون، الصور من تطبيقات المراسلة الفورية، الموقع الجغرافي، وبيانات حول عدد من الأنشطة الأخرى لمالك الجهاز المصاب.
يتم تنفيذ الهجوم بأكمله بأقل قدر ممكن من الظهور، ومع ذلك، تم اكتشاف وجود الهجوم بواسطة Kaspersky Unified Monitoring and Analysis Platform (KUMA)، وهو حل SIEM الأصلي لإدارة المعلومات والأحداث. كشف النظام عن انحراف في شبكتنا قادم من أجهزة Apple. أظهر التحقيق الأولي من فريقنا أن عدد من أجهزة iPhones لموظفينا تمت اختراقها بواسطة برنامج التجسس الجديد والمتطور للغاية الذي سميناه ‘Triangulation’.
نظرًا للطبيعة المغلقة لنظام التشغيل iOS، لا توجد أدوات قياسية في النظام الأساسي للكشف عن هذا البرنامج الضار وإزالته من الهواتف الذكية المصابة. لذلك، يجب أن تلجأ إلى أدوات خارجية للقيام بذلك.
إذا كنت تبحث عن دليل لوجود برنامج Triangulation على جهازك، يمكنك اعتبار تعطيل إمكانية تحديث نظام التشغيل iOS كإشارة. للكشف عن العدوى بشكل أكثر دقة، ستحتاج إلى أخذ نسخة احتياطية من الجهاز وفحصها باستخدام أداة خاصة. تم توضيح توصيات أكثر تفصيلاً في هذه المقالة التقنية على Securelist. كما يعمل فريقنا على تطوير أداة كشف مجانية وسنتيحها بعد الانتهاء من الاختبار.
نظراً لمنع تحديثات iOS على الأجهزة المصابة، لم نستطع العثور بعد على طريقة فعالة لإزالة برنامج التجسس دون فقدان بيانات المستخدم. يمكن القيام بهذا الإجراء فقط عن طريق إعادة ضبط أجهزة iPhones المصابة إلى إعدادات المصنع وتثبيت أحدث إصدار من نظام التشغيل وكامل بيئة المستخدم من البداية. وإلا، حتى إذا تم حذف برنامج التجسس من ذاكرة الجهاز بعد إعادة التشغيل، يمكن لـ Triangulation أن يعيد العدوى من خلال الثغرات في إصدار قديم من iOS.
هذا التقرير حول عملية Triangulation هو مجرد بداية التحقيق في هذا الهجوم المعقد. اليوم ننشر أول نتائج التحليل، ولكن لا يزال هناك الكثير من العمل المتبقي. بينما يتم التحقيق في الحادثة، سنقوم بنشر بيانات جديدة في مقال مخصص على Securelist وسنستعرض العمل الذي تم إنجازه في قمة المحللين الأمنيين الدولية في أكتوبر (تابع موقع الأخبار).
نحن واثقون تماماً من أن كاسبرسكي لم يكن الهدف الرئيسي لهذا الهجوم السيبراني. في الأيام القادمة، سنوفر مزيداً من الوضوح والتفاصيل حول انتشار برنامج التجسس في جميع أنحاء العالم.
نعتقد أن السبب الرئيسي وراء هذا الحادث هو الطبيعة المملوكة لنظام iOS. إن هذا النظام هو “صندوق أسود” يمكن لبرامج التجسس مثل Triangulation أن تختبئ فيه لسنوات. يصعب اكتشاف وتحليل مثل هذه التهديدات بسبب استبدالية أدوات البحث التابعة لشركة Apple، مما يجعلها ملاذاً مثالياً لبرامج التجسس. بعبارة أخرى، يتم تزويد المستخدمين بشعور بالأمان المتعلق بشفافية النظام التامة والتي يجهل الخبراء الأمنيين بالفعل ما يحدث في نظام iOS. عدم وجود أخبار عن الهجمات لا يعني عدم إمكانية حدوث الهجمات نفسها – كما رأينا للتو.
أود أن أذكركم بأن هذه ليست أول حالة هجوم مستهدف ضد شركتنا. نحن على علم تام بأننا نعمل في بيئة عدائية للغاية وقد وضعنا إجراءات استجابة للحوادث المناسبة. بفضل التدابير المتخذة، تعمل الشركة بشكل طبيعي، ولا تتأثر عمليات الأعمال وبيانات المستخدمين، وتم تطويق التهديد. نحن مستمرون في حمايتكم كما هو الحال ًدائما.
ملاحظة: لماذا “Triangulation”؟
يستخدم Triangulation تقنية Canvas Fingerprinting للتعرف على مواصفات البرامج والأجهزة للنظام المستهدف، ويقوم برسم مثلث أصفر في ذاكرة الجهاز.