تعرضت شركة الأمن Kaspersky التي تتخذ من موسكو مقراً لها لهجوم إلكتروني متقدم استخدم عمليات استغلال بدون نقر لإصابة أجهزة iPhone الخاصة بالعشرات من الموظفين. قال مسؤولو الشركة إن الهواتف مصابة ببرامج ضارة تجمع تسجيلات الميكروفون والصور وتحديد الموقع الجغرافي وبيانات أخرى.
كتب يوجين كاسبيرسكي ، مؤسس الشركة ، في منشور نُشر يوم الخميس: “نحن واثقون تمامًا من أن Kaspersky لم يكن الهدف الرئيسي لهذا الهجوم الإلكتروني”. “ستجلب الأيام المقبلة مزيدًا من الوضوح والمزيد من التفاصيل حول الانتشار العالمي لبرامج التجسس.”
سوف يؤدي استغلال APT غير القابل للنقر إلى التدمير الذاتي
تم تسليم البرامج الضارة ، التي كانت قيد الاستخدام لمدة أربع سنوات على الأقل ، في نصوص iMessage التي أرفقت ملفًا ضارًا يستغل تلقائيًا واحدة أو أكثر من نقاط الضعف دون مطالبة المتلقي باتخاذ أي إجراء. وبذلك ، أصيبت الأجهزة بما وصفه باحثو كاسبرسكي بـ “منصة APT كاملة الميزات”. APT اختصار للتهديد المستمر المتقدم ويشير إلى الجهات الفاعلة في التهديد بموارد غير محدودة تقريبًا تستهدف الأفراد على مدى فترات طويلة من الزمن. يتم دعم APTs دائمًا من قبل الدول القومية.
بمجرد تثبيت البرنامج الضار APT ، تم حذف الرسالة النصية الأولية التي مفادها أن سلسلة العدوى بدأت. في منشور يوم الخميس ، كتب يوجين كاسبيرسكي:
يتم تنفيذ الهجوم باستخدام iMessage غير مرئي مع مرفق ضار ، والذي يتم تنفيذه على الجهاز باستخدام عدد من نقاط الضعف في نظام التشغيل iOS ويقوم بتثبيت برامج التجسس. يتم إخفاء نشر برامج التجسس تمامًا ولا يتطلب أي إجراء من المستخدم. علاوة على ذلك ، ينقل برنامج التجسس أيضًا بهدوء المعلومات الخاصة إلى الخوادم البعيدة: تسجيلات الميكروفون ، والصور من برامج المراسلة الفورية ، وتحديد الموقع الجغرافي ، وبيانات حول عدد من الأنشطة الأخرى لمالك الجهاز المصاب.
يتم تنفيذ الهجوم بأكبر قدر ممكن من السرية ، ومع ذلك ، تم اكتشاف حقيقة الإصابة بواسطة Kaspersky Unified Monitoring and Analysis Platform (KUMA) ، وهو حل SIEM أصلي لإدارة المعلومات والأحداث ؛ اكتشف النظام حالة شاذة في شبكتنا قادمة من أجهزة Apple. أظهر تحقيق إضافي من فريقنا أن عشرات أجهزة iPhone الخاصة بموظفينا أصيبوا ببرنامج تجسس جديد ومتطور للغاية من الناحية التكنولوجية أطلقنا عليه اسم “التثليث”.
حصلت عملية التثليث على اسمها لأن البرامج الضارة تستخدم تقنية تعرف باسم بصمة قماشية لاكتشاف الأجهزة والبرامج التي تم تجهيز الهاتف بها. قال يوجين كاسبيرسكي إن البرنامج الضار خلال هذه العملية “يرسم مثلثًا أصفر في ذاكرة الجهاز”.
قال باحثو كاسبرسكي إن الآثار الأولى لعدوى التثليث تعود إلى عام 2019 ، واعتبارًا من يونيو 2023 ، كانت الهجمات مستمرة. أحدث إصدار من نظام التشغيل iOS تم استهدافه بنجاح هو 15.7 ، والذي كان ساريًا اعتبارًا من الشهر الماضي. لم ترد شركة Kaspersky ولا Apple على رسائل البريد الإلكتروني التي تسأل عما إذا كان استغلال الثغرة الأمنية يوم صفر ، مما يعني وجود خلل معروف للمهاجمين أو يتم نشره قبل أن يكون لدى البائع إصلاح.
قال باحثو كاسبرسكي إن مجموعة الأدوات الخبيثة غير قادرة على اكتساب الثبات ، مما يعني أنها لا تنجو من عمليات إعادة التشغيل. قالوا إن توقيت العدوى على أجهزة متعددة اقترحوا بطريقة ما “إعادة إصابتها بعد إعادة التشغيل”. لم يخض الباحثون في التفاصيل. من المحتمل أنه في الأيام أو الأسابيع المقبلة ، ستقدم الشركة مزيدًا من التفاصيل الفنية حول البرامج الضارة وأهداف الحملة وأصولها.
هذه ليست المرة الأولى التي يتم فيها اختراق Kaspersky بنجاح في حملة APT. في عام 2014 ، اكتشفت الشركة أن برامج ضارة خفية أصابت شبكتها قبل أشهر من اكتشافها. بينما بذل المهاجم جهدًا لإخفاء أصول العدوى ، قال كاسبرسكي إن البرنامج الضار في ذلك الهجوم كان نسخة محدثة من Duqu ، والتي تم اكتشافها في أواخر عام 2011 برمز مشتق مباشرة من Stuxnet. أشارت الأدلة في وقت لاحق إلى أن دوكو استُخدم للتجسس على جهود إيران لتطوير مواد نووية ومراقبة العلاقات التجارية للبلاد.
كتب يوجين كاسبيرسكي في منشور يوم الخميس: “نحن ندرك جيدًا أننا نعمل في بيئة شديدة العدوانية وقد طورنا إجراءات مناسبة للاستجابة للحوادث”. “بفضل التدابير المتخذة ، تعمل الشركة بشكل طبيعي ، ولا تتأثر العمليات التجارية وبيانات المستخدم ، وتم تحييد التهديد.”
