Gerdab.IR | گرداب

به گزارش گرداب، در نخستین روز از ژوئن سال جاری میلادی سرویس اطلاعات خارجی روسیه (FSB) در بیانیه‌ای سرویس‌های اطلاعاتی آمریکا را متهم به آلوده کردن هزاران دستگاه موبایل آیفون در این کشور به یک جاسوس‌افزار کرد.^[۱]

طبق این بیانیه تعداد زیادی از این دستگاه‌ها متعلق به دیپلمات‌های خارجی بودند که در روسیه مستقر هستند. بیانیه‌ی FSB همچنین شرکت اپل را متهم کرد که برای تولید این جاسوس‌افزار با آژانس امنیت ملی آمریکا (NSA) همکاری نزدیکی داشته است.

روسیه از یک عملیات برجسته سازمان سیا پرده برداشته که از هزاران دستگاه آیفون دیپلمات‌ها جاسوسی میکرده است. شرکت اپل راهی مخفی برای آژانس‌های جاسوسی آمریکا فراهم کرده تا دستگاه‌های آیفون را به دستگاه‌های جاسوسی تبدیل کند. استفاده از ابزار‌های رمزگذاری وقتی که iOS راهی مخفی دارد، به حفاظت شما کمک نمی‌کند.

بدافزار مورد اشاره فقط اقدام به جاسوسی از کاربران آیفون در روسیه نکرده است و نه تنها شهروندان روسیه، بلکه اعضای سفارتخانه‌ها و شهروندان کشور‌های غربی ساکن روسیه نیز از قربانیان این بدافزار بودند. همکاری پنهان شرکت اپل و سوءاستفاده از نقص ساختاری محصول این شرکت توسط نهاد‌های امنیتی آمریکایی، بسیار چالش برانگیز است و نشان از همکاری پشت پرده این شرکت با نهاد‌های آمریکایی دارد.

حال شرکت امنیت سایبری کسپرسکی (Kaspersky) خبری درباره‌ی شناسایی یک بدافزار جدید منتشر کرد؛ بدافزاری که گوشی‌های همراه ده‌ها نفر از کارکنان و مدیران این شرکت را آلوده کرده است.

همزمانی این دو خبر احتمالاً به این معناست که بدافزار شناسایی شده توسط این شرکت، همان جاسوس‌افزاریست که FSB به آن اشاره کرده بود. این شرکت در روز‌های بعد و در تعدادی گزارش دیگر، جزئیات بیشتری از این جاسوس‌افزار منتشر کرد. متخصصان کسپرسکی در گزارش‌های خود از این بدافزار با نام TriangleDB نام می‌بردند.

عملیات مثلث‌سازی

طبق گزارش این شرکت این جاسوس‌افزار متعلق به عملیاتی بوده که حداقل از سال ۲۰۱۹ در حال اجراست. برای آلوده شدن دستگاه‌های قربانیان به این جاسوس‌افزار، به هیچ اقدام یا اشتباهی از طرف آنان نیاز نیست. مهاجم با استفاده از یک آسیب‌پذیری در پیام‌رسان گوشی‌های آیفون یعنی iMessage فایل جاسوس‌افزار را در ضمیمه‌ی یک پیام غیر قابل مشاهده به دستگاه آن‌ها ارسال می‌کند.

اطلاعاتی که جاسوس‌افزار منتقل می‌کند شامل فایل‌های روی دستگاه، صدای میکروفون، عکس‌ها و موقعیت مکانی است. نکته‌ای که پیچیدگی این عملیات را نشان می‌دهد این است که جاسوس‌افزار از زنجیره‌ای از آسیب‌پذیری‌های مختلف برای دسترسی به دستگاه قربانی و اجرای عملکرد‌های خود استفاده کرده که نشان‌دهنده‌ی تسلط و آشنایی بالای مهاجم با نقاط ضعف iOS است.

یکی از نشانه‌های احتمالی برای شناسایی دستگاه آلوده این است که حضور جاسوس‌افزار TriangleDB روی سیستم قربانی قابلیت به‌روزرسانی iOS را می‌گیرد. متخصصان کسپرسکی به دنبال طراحی یک ابزار رایگان برای شناسایی این جاسوس‌افزار هستند.

چرا «مثلث‌سازی»؟

این نام به این علت از سوی کسپرسکی انتخاب شد که جاسوس‌افزار برای بازشناسی مشخصات نرم‌افزاری و سخت‌افزاری دستگاه از روشی به نام Canvas Fingerprinting استفاده می‌کند. در این روش برنامه یک مثلث زرد رنگ روی برچسب canvas در HTML۵ می‌کشد. سپس برنامه اطلاعات این مثلث که بر روی حافظه دستگاه ذخیره شده را استخراج می‌کند. نکته‌ی جالب اینجاست که بسته به ویژگی‌هایی مانند سیستم عامل، مرورگر مورد استفاده و سخت‌افزار گرافیکی، کد‌های عددی این مثلث در حافظه هر دستگاه، هرچند نه به صورت کامل، ولی تا حدی یکتا خواهد بود.
افزودن پسوند DB به نام بدافزار یعنی TriangleDB نیز به علت استفاده از اصطلاحات مورد استفاده در نرم‌افزار‌های پایگاه داده (Database (DB)) برای نام‌گذاری بخش‌های مختلف کد است.

چرا دستگاه‌های آیفون؟

به باور تحلیل‌گران کسپرسکی اصلی‌ترین دلیل آلودگی گسترده‌ی دستگاه‌های شرکت اپل به این بدافزار، ماهیت بسته و اختصاصی سیستم عامل iOS است. آن‌ها معتقدند این سیستم عامل نظیر یک «جعبه‌ی سیاه» است که جاسوس‌افزار‌هایی نظیر TriangleDB می‌توانند برای سال‌ها در آن مخفی مانده و عمل کنند. همین ماهیت بسته‌ی iOS موجب شده هیچ ابزار استانداردی در داخل این سیستم عامل برای شناسایی یا حذف این بدافزار موجود نباشد. این کار تنها با استفاده از ابزار‌های بیرونی ممکن است. همچنین دلایلی وجود دارد که نشان می‌دهد جاسوس‌افزار مشابهی می‌تواند بر روی سیستم عامل دسکتاپ اپل نیز عمل کند.

انحصار اپل بر ابزار‌های تحلیل و بررسی نیز باعث شده شناسایی چنین جاسوس‌افزار‌هایی بسیار دشوارتر شود. کارشناسان کسپرسکی معتقدند ابهام شدید نحوه‌ی کار سیستم عامل اپل به کاربران تنها توهمی از امنیت می‌دهد. متخصصان امنیت سایبری آگاهی چندانی از طرز کار داخلی iOS ندارند.^[۲]

این جاسوس‌افزار در دستگاه قربانی چه کار‌هایی می‌کند؟

بدافزار پس از استقرار در حافظه‌ی دستگاه تا مدت ۳۰ روز روی آن عمل کرده و سپس خود را پاک می‌کند، مگر اینکه از سوی سرور کنترل و فرماندهی دستوری برای تمدید این مدت ارسال شود. همچنین خاموش و روشن کردن دستگاه این بدافزار را از روی حافظه پاک می‌کند. عملکرد‌های این ابزار روی دستگاه قربانی به دو شکل است. بعضی از عملکرد‌ها و دستورات روی کد اصلی جاسوس‌افزار وجود دارد. در کنار این، برنامه این امکان را دارد که برخی عملکرد‌های دیگر را از طریق دریافت ماژول‌های جانبی و اجرای کد داخل آن‌ها داشته باشد. این موجب شده کارشناسان نتوانند تمام گستره‌ی نفوذ و خرابکاری این جاسوس‌افزار پیچیده را شناسایی و تحلیل کنند.^[۳]

بعضی از عملکرد‌های کد اصلی این‌ها هستند:

• دست‌کاری فایل‌ها، اعم از ساختن فایل جدید، تغییر یا حذف فایل‌های موجود و سرقت فایل‌ها
• بررسی پردازش‌های در حال اجرا در سیستم
• سرقت اطلاعات احراز هویت و کلید‌های امنیتی دستگاه
• سرقت اطلاعات مکانی کاربر، نظیر مختصات جغرافیایی، سرعت، و جهت حرکت

در خصوص ماژول‌های جانبی اطلاعاتی در دست نیست، اما بررسی دسترسی‌های دیگری که جاسوس‌افزار از سیستم عامل اخذ کرده، اما در کد اصلی از آن‌ها استفاده‌ای نشده، نظیر دسترسی به میکروفن، اطلاعات مخاطبان و ارتباط بلوتوث، نشان می‌دهد که احتمالاً این امکانات دستگاه در ماژول‌های جانبی مورد سوءاستفاده قرار می‌گیرند.

در همین رابطه بخوانید:

جاسوس‌افزار TriangleDB زیر ذره‌بین

منابع:

[۱] http://www.fsb.ru/fsb/press/message/single.htm%21id%3D10439739%40fsbMessage.html

[۲] https://www.kaspersky.com/blog/triangulation-attack-on-ios/48353/

[۳] https://www.kaspersky.com/blog/triangledb-mobile-apt/48471/