Операция Триангуляция: кибершпионы собирали данные с iOS с помощью шпионского импланта TriangleDB

Эксперты «Лаборатории Касперского» раскрыли детали операции «Триангуляция», в ходе которой кибершпионы собирали данные с устройств на iOS. Для этого они применяли уникальный имплант TriangleDB, который работает в памяти устройства и не оставляет следов на диске.

Для того, чтобы внедрить TriangleDB в устройство, атакующие эксплуатировали уязвимость ядра, которая позволяла получить привилегии суперпользователя. После этого имплант развёртывался и работал исключительно в памяти устройства. Единственный способ избавиться от импланта — перезагрузить устройство. Однако, если жертва перезагружала устройство, злоумышленнику необходимо было повторно заразить его, отправив заново iMessage с вредоносным вложением. Если же перезагрузка не происходила, имплант автоматически удалялся через 30 дней, если атакующие не продлевали этот срок.

TriangleDB обладал широким спектром функций по сбору данных и мониторингу. Имплант мог выполнять 24 команды, которые позволяли атакующим запускать разные процессы, в том числе взаимодействовать с файловой системой устройства (включая создание, изменение, кражу и удаление файлов), управлять процессами (получение списка и их завершение), извлекать элементы связки ключей для сбора учётных данных и вести мониторинг геолокации жертвы.

Анализируя TriangleDB, эксперты «Лаборатории Касперского» также обнаружили, что класс CRConfig содержит неиспользуемый метод populateWithFieldsMacOSOnly. Это косвенно указывает на то, что аналогичный имплант может использоваться в атаках на устройства на macOS.