知名反病毒软件开发商卡巴斯基攻击被命名为三角测量
卡巴斯基创始人尤金·卡巴斯基详细描述了该漏洞以及卡巴斯基的发现过程。 据解释,黑客早在2019年就已侵入卡巴斯基员工的手机。
开始:
卡巴斯基对内网有严格的管理。 员工可以连接公司内的WiFi,但这个WiFi是专门为移动设备设计的,并且通过VLAN进行隔离。
同时卡巴斯基还监控了该VLAN的流量。 最后,卡巴斯基在流量中发现了一些异常URL,随后发现数十名员工遭到了入侵。
零点击漏洞(0点击):
零点击漏洞是指不需要任何用户交互的漏洞。 这些漏洞大多危害性极大卡巴斯基反病毒软件,是各大操作系统最关心的漏洞类型之一。
黑客利用苹果服务中的零点击漏洞向卡巴斯基员工发送带有附件的消息。 收到消息后,卡巴斯基员工自动被感染并被植入恶意软件。
恶意软件特征:
受到恶意软件感染后,黑客开始收集各种敏感信息并上传到C&C服务器。 被盗信息包括但不限于:GPS位置信息、麦克风录音、各种即时通讯软件的截图以及互联网上的其他数据。
黑客使用了数十个看似正常的域名来传输这些信息,以避免被卡巴斯基检测,例如这个域名:[.]com
经过分析,卡巴斯基实验室认为,此次攻击、攻击者以及利用的漏洞与此前的NSO组织()、、Reign无关,是一次独立的攻击活动。
无法实现持久性,必须重复感染:
可能由于iOS的某些机制,该恶意软件无法持久化,即每次系统重新启动时该恶意软件都会被停止,攻击者必须重新感染它才能启动它。
据卡巴斯基调查,部分员工多次再次感染。 例如,当iOS自动更新时,它会重新启动系统,因此攻击者必须再次感染它。
如何清理受感染的设备:
需要恢复出厂设置和完全重置,无法使用备份数据进行恢复,因为植入的恶意软件可能会从备份中恢复。
保护模式:
苹果去年年底推出了先进的数据保护功能。 开启该功能后,很多iOS功能会受到限制,但安全性会增强。 一件事是额外的下载也被禁用,这可能有助于防止此类攻击。
攻击目的分析:
卡巴斯基认为,该公司并不是黑客的主要目标。 采用如此复杂的攻击方式,并利用零点击漏洞,说明黑客并不缺钱,所以这次攻击很可能还有其他目的。
而且,卡巴斯基可能只是众多遭受攻击的组织之一,并且很有可能还有许多其他组织遭受过类似的攻击。
漏洞是否已修复:
根据卡巴斯基的声明,相关漏洞情况已向苹果报告,但苹果从未回应。 不过测试显示,苹果在今年2月发布的iOS更新中修复了该漏洞。 至于为何没有回应卡巴斯基的通知,目前尚不清楚原因。
后记:
由于这次攻击非常复杂,卡巴斯基目前还没有分析(透露)太多信息。 卡巴斯基表示,未来有新信息时将继续发布博客笔记。
这个活动被命名了,卡巴斯基专门做了一个页面:
热的
☍
门
☍
推
☍
推荐
☍
