انتشار شده در تاریخ 1402/04/01 - 13:02

بروزرسانی اپل برای دو آسیب پذیری روز صفر

اپل بروزرسانی های مرتبط با دو آسیب پذیری روز صفر را منتشر کرده است که در یک کمپین جاسوس‌افزاری مورد سوء استفاده قرار گرفته اند که دولت روسیه آن را به گردن آمریکا انداخته است.

به گزارش کارگروه امنیت خبرگزاری سایببربان، اطلاعات مربوط به این کمپین که عملیات مثلث سازی (Operation Triangulation) نام دارد، توسط شرکت امنیت سایبری کسپرسکی مستقر در مسکو در اوایل ژوئن پس از شناسایی این بدافزار در آیفون‌های شبکه خود و همچنین در روز چهارشنبه در تحقیقات جدیدی که نحوه عملکرد این نرم‌افزار جاسوسی را توصیف می‌کرد، در دسترس عموم قرار گرفت.
این بدافزار از سال 2019 فعال بوده و با ارسال پیام در آی مسیج (iMessages) با پیوست های مخرب، به اهداف خود حمله می کرده است.
دو آسیب پذیری روز صفر با نام‌های CVE-2023-32434 و CVE-2023-32439، هر کدام توسط محققان کسپرسکی به اپل گزارش شده اند.
هیچ کدام از این باگ‌ها بر دستگاه‌های جدیدتر از سیستم عامل آی او اس نسخه 15.7 تأثیر نخواهند گذاشت.
این شرکت می گوید:

محققان کسپرسکی آسیب‌پذیری‌های هسته و وب کیت (WebKit) را در جریان بررسی حمله این باج افزار که در اوایل ماه جاری گزارش شد، کشف کردند. تیم ما فعالانه با تیم تحقیقات امنیتی اپل با به اشتراک گذاشتن اطلاعات در مورد حمله و گزارش سوء استفاده ها همکاری کرده است.

در حالی که عامل تهدید کننده دقیق این کمپین مشخص نیست، اما در اوایل ژوئن زمانی که سرویس امنیت فدرال روسیه (FSB) ادعا کرد این نرم افزار جاسوسی توسط اطلاعات ایالات متحده برای هدف قرار دادن آیفون های دیپلمات های روسی مورد استفاده قرار گرفته است، مورد توجه قرار گرفت.
در بیانیه ای در همان روز با گزارش کسپرسکی، سرویس امنیت فدرال روسیه مدعی می شود که ایالات متحده هزاران آیفون را به این بدافزار آلوده کرده است، در حالی که اپل را نیز به همدستی در این کمپین متهم می کرد.
به گفته این آژانس، هم کاربران داخلی و هم شماره های خارجی با استفاده از سیم کارت های ثبت شده در نمایندگی های دیپلماتیک و سفارتخانه ها در روسیه هدف قرار گرفته اند.
یکی از سخنگویان اپل در آن زمان به خبرگزاری ریکورد (The Record) گفته بود:

ما هرگز با هیچ دولتی برای ایجاد درب پشتی در محصولات اپل کار نکرده‌ایم و هرگز هم نخواهیم کرد.

در حالی که نه کسپرسکی و نه سرویس امنیت فدرال روسیه به طور صریح این دو کمپین را به هم مرتبط نکرده اند، آژانس امنیت رایانه روسیه اما گزارش می دهد که شاخص های سازش آنها یکسان است.
پس از یک تحقیق شش ماهه در مورد زنجیره بهره برداری، کسپرسکی در می یابد که ایمپلنت پس از به دست آوردن امتیازات روت توسط مهاجمان مستقر می شود و جاسوس افزار تنها بر روی حافظه دستگاه کار می کند.
آثار آن پس از راه اندازی مجدد ناپدید می شود، پس از آن بدافزار باید دوباره بر روی دستگاه نصب شود.
همچنین قرار است ایمپلنت بعد از 30 روز ناپدید شود مگر اینکه مهاجمان تمدید آن را انتخاب کنند.
محققان 24 فرمان ارسال شده توسط بدافزار را شناسایی کرده اند که شامل ایجاد، اصلاح و استخراج فایل‌ها، ریختن آیتم‌های زنجیره کلید و نظارت بر موقعیت جغرافیایی می‌شود.
آنها اشاره می کنند که یک فایل مورد استفاده برای تعریف تنظیمات پیکربندی دارای روشی به نام "populateWithFieldsMacOSOnly" است که نشان می دهد این بدافزار می تواند بر روی دستگاه های با سیستم عامل مک او اس (MacOS) نیز استفاده شود.
گئورگی کوچرین، کارشناس امنیتی در تیم تحقیق و تحلیل جهانی کسپرسکی، در بیانیه‌ای مطبوعاتی می گوید:

همانطور که در حال بررسی این حمله بودیم، یک ایمپلنت پیشرفته آی او اس را کشف کردیم که موارد عجیب و غریب متعددی را نشان می‌داد. ما به تجزیه و تحلیل کمپین ادامه خواهیم داد و همه را با بینش های بیشتر در مورد این حمله پیچیده به روز خواهیم کرد.