ما هو هجوم “المثلث الأصفر” الذي استهدف كاسبرسكي

اكتشف خبراء كاسبرسكي هجوماً سيبرانياً مستهدفاً استثنائياً ومعقداً للغاية يستخدم أجهزة Apple المحمولة. الهدف من هذا الهجوم هو إدخال برنامج التجسس بشكل مراوغ في iPhones لموظفي الشركة – سواء كانوا من كبار الإداريين أو منتصف الإدارة.

يتم تنفيذ الهجوم باستخدام رسائل iMessage المخفية مع مرفق ضار، والذي يستغل عدداً من الثغرات في نظام التشغيل iOS ويتم تنفيذه على الجهاز ويقوم بتثبيت برنامج التجسس. يتم إخفاء تنفيذ برنامج التجسس تماماً ولا يتطلب أي إجراء من المستخدم. علاوة على ذلك، يقوم برنامج التجسس بنقل المعلومات الخاصة إلى خوادم بعيدة بصورة هادئة: تسجيلات الميكروفون، الصور من تطبيقات المراسلة الفورية، الموقع الجغرافي، وبيانات حول عدد من الأنشطة الأخرى لمالك الجهاز المصاب.

يتم تنفيذ الهجوم بأكمله بأقل قدر ممكن من الظهور، ومع ذلك، تم اكتشاف وجود الهجوم بواسطة Kaspersky Unified Monitoring and Analysis Platform (KUMA)، وهو حل SIEM الأصلي لإدارة المعلومات والأحداث. كشف النظام عن انحراف في شبكة كاسبرسكي قادم من أجهزة Apple. أظهر التحقيق الأولي من فريق كاسبرسكي أن عدد من أجهزة iPhones لموظفيهم تمت اختراقها بواسطة برنامج التجسس الجديد والمتطور للغاية الذي سميناه ‘Triangulation’.

نظرًا للطبيعة المغلقة لنظام التشغيل iOS، لا توجد أدوات قياسية في النظام الأساسي للكشف عن هذا البرنامج  الضار وإزالته من الهواتف الذكية المصابة. لذلك، يجب أن اللجوء إلى أدوات خارجية للقيام بذلك.

إذا كنت تبحث عن دليل لوجود برنامج Triangulation على جهازك، يمكنك اعتبار تعطيل إمكانية تحديث نظام التشغيل iOS كإشارة. للكشف عن العدوى بشكل أكثر دقة، ستحتاج إلى أخذ نسخة احتياطية من الجهاز وفحصها باستخدام أداة خاصة.  كما يعمل فريق كاسبرسكي على تطوير أداة كشف مجانية وسنتيحها بعد الانتهاء من الاختبار.

نظراً لمنع تحديثات iOS على الأجهزة المصابة، لم يتمكن فريق كاسبرسكي العثور بعد على طريقة فعالة لإزالة برنامج التجسس دون فقدان بيانات المستخدم. يمكن القيام بهذا الإجراء فقط عن طريق إعادة ضبط أجهزة iPhones المصابة إلى إعدادات المصنع وتثبيت أحدث إصدار من نظام التشغيل وكامل بيئة المستخدم من البداية. وإلا، حتى إذا تم حذف برنامج التجسس من ذاكرة الجهاز بعد إعادة التشغيل، يمكن لـ Triangulation أن يعيد العدوى من خلال الثغرات في إصدار قديم من iOS.

هذا التقرير حول عملية Triangulation هو مجرد بداية التحقيق في هذا الهجوم المعقد. اليوم ننشر أول نتائج التحليل، ولكن لا يزال هناك الكثير من العمل المتبقي. بينما يتم التحقيق في الحادثة، سنقوم بنشر بيانات جديدة في مقال مخصص على Securelist وسنستعرض العمل الذي تم إنجازه في قمة المحللين الأمنيين الدولية في أكتوبر.

نحن واثقون تماماً من أن كاسبرسكي لم يكن الهدف الرئيسي لهذا الهجوم السيبراني. في الأيام القادمة، سنوفر مزيداً من الوضوح والتفاصيل حول انتشار برنامج التجسس في جميع أنحاء العالم.

نعتقد أن السبب الرئيسي وراء هذا الحادث هو الطبيعة المملوكة لنظام iOS. إن هذا النظام هو “صندوق أسود” يمكن لبرامج التجسس مثل Triangulation أن تختبئ فيه لسنوات. يصعب اكتشاف وتحليل مثل هذه التهديدات بسبب استبدالية أدوات البحث التابعة لشركة Apple، مما يجعلها ملاذاً مثالياً لبرامج التجسس. بعبارة أخرى، يتم تزويد المستخدمين بشعور بالأمان المتعلق بشفافية النظام التامة والتي يجهل الخبراء الأمنيين بالفعل ما يحدث في نظام iOS. عدم وجود أخبار عن الهجمات لا يعني عدم إمكانية حدوث الهجمات نفسها – كما رأينا للتو.

هذه ليست أول حالة هجوم مستهدف ضد كاسبرسكي. وكاسبرسكي على علم تام بأنها نعمل في بيئة عدائية للغاية وقد وضعت إجراءات استجابة مناسبة للحوادث. بفضل التدابير المتخذة، تعمل الشركة بشكل طبيعي، ولا تتأثر عمليات الأعمال وبيانات المستخدمين، وتم تطويق التهديد.

ملاحظة: لماذا “Triangulation”؟

يستخدم Triangulation تقنية Canvas Fingerprinting للتعرف على مواصفات البرامج والأجهزة للنظام المستهدف، ويقوم برسم مثلث أصفر في ذاكرة الجهاز.