بررسی اپمپلنت جاسوس‌افزار به نام TriangleDB

05 تیر 1402 112 بازدید
بررسی اپمپلنت جاسوس‌افزار به نام TriangleDB

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ فناوری‌های ما مدتی پیش حمله جدید APT را روی آیفون‌ها شناسایی کردند که از بین موارد دیگر هدف این حمله، کارمندان خود شرکت کسپرسکی بود. مهاجمین ناشناس از آسیب‌پذیری کرنل آی‌اواس برای بکارگیری جاسوس‌افزاری ایمپلنت‌شده به نام TriangleDB در مموری دستگاه استفاده کردند. متخصصین ما اکنون قادر شدند این فناوری ایمپلنت را به طور جامع بررسی کنند. با ما همراه باشید.

ایمپلنت TriangleDB چه کارهایی می‌تواند بکند؟

بررسی این ایمپلنت کار آسانی نیست زیرا فقط روی مموری گوشی کار می‌کند و هیچ ردی از خود در سیستم به جا نمی‌گذارد. بدین‌معنا که ریبوت تماماً همه آثار حمله را پاک کرده و بدافزار تایمر خودتخریبی دارد که خودکار 30 روز پس از اولین آلودگی (اگر اپراتورها تصمیم گرفتند فرمانی برای بیشتر کردن تایم فعالیت ارسال کنند) فعال می‌شود. کارکرد پایه این ایمپلنت شامل ویژگی‌های زیر می‌شود:

  •         دستکاری فایل (ساخت، اصلاح، حذف یا استخراج)
  •         دستکاری با فرآیندهای اجرا (دریافت فهرست و پایان دادن به آن‌ها)
  •         استخراج عناصر کی‌چین آی‌اواس که بسیاری حاوی گواهی، هویت‌های دیجیتال و/یا اطلاعات محرمانه برای خدمات مختلف هستند
  •         انتقال داده‌های ژئولوکیشن شامل مختصات‌ها، ارتفاع، سرعت و مسیر حرکت

همچنین این ایمپلنت می‌تواند ماژول‌های اضافی را به مموری گوشی لود کرده و آن‌ها را اجرا کند.

حملات APT روی دستگاه‌های موبایل

اخیراً تارگت اصلی حملات APT به طور کلی بیشتر کامپیوترهای سنتی شخصی هستند. با این حال دستگاه‌های مدرن موبایل این روزها از حیث هم عملکرد و کیفیت با پی‌سی‌های اداری مقایسه می‌شوند. آن‌ها برای تعامل با اطلاعات مهم تجاری، ذخیره رازهای تجاری و شخصی استفاده شده و می‌تواند برای خدمات کاری حکم کلیدهای دسترسی داشته باشند. از این رو گروه‌های APT همه تلاش خود را می‌کنند تا حملاتی را روی سیستم‌عامل‌های موبایل طراحی کنند. البته که Triangulation اولین حمله به دستگاه‌های آی‌اواس نیست. همه مورد بدنام جاسوس‌افزار تجاری پگاسوس یادشان است (متأسفانه هنوز هم جلوی آن گرفته نشده است). نمونه‌های دیگری هم هست:Insomnia، Predator، Reign و غیره. همچنین هیچ جای تعجبی هم نیست که گروه‌های APT به سیستم‌عامل اندروید نیز علاقه نشان دهند. همین چند وقت پیش اخباری شنیدیم از حمله گروه APT به نام Transparent Tribe که از بک‌در CapraRAT برای حمله به کاربران هندی و پاکستانی این سیستم استفاده کرده بود. همه اینها نشان می‌دهد برای محافظت شرکت از حملات این روزهای گروه‌های APT باید نه تنها از امنیت تجهیزات ثابت –سرورها و ایستگاه‌های کار- مطمئن شد که همچنین باید امنیت دستگاه‌های موبایل استفاده‌شده در پروسه کار نیز لحاظ شود.

چطور از خود در برابر حملات APT روی موبایل‌ها محافظت کنیم؟

این که فرض کنیم فناوری‌های پیش‌فرض محافظتی ارائه‌شده توسط تولیدکنندگان دستگاه برای محافظت از دستگاه‌های موبایل کافی هستند غلط است. مورد Operation Triangulation به وضوح نشان داد حتی فناوری‌های اپل هم بی‌نقص نیستند. از این رو توصیه ما به کسب و کارها این است که همیشه سیستم محافظتی چند سطحی داشته باشند؛ این سیستم شامل ابزارهای راحت که کنترل دستگاه موبایل را موجب می‌شوند و سیستم‌هایی که می‌توانند تعاملات شبکه‌ای آن‌ها را نظارت کنند می‌شود. اگر می‌خواهید قربانی حمله هدف‌دار توسط عاملین تهدید شناخته‌شده و شناخته‌نشده نشوید محققین کسپرسکی توصیه می‌کنند اقدامات زیر را انجام دهید:

  •         به تیم SOC خود دسترسی به جدیدترین هوش تهدید را بدهید. هوش تهدید کسپرسکی نقطه دسترسی واحدی است که داده‌های حملات سایبری و بینش‌هایی جمع‌آوری‌شده توسط کسپرسکی در طول عمر 20 ساله‌اش ارائه می‌دهد.
  •         به تیم امنیت سایبری خود نحوه مدیریت جدیدترین تهدیدهای هدف‌دار را با دوره انلاین کسپرسکی که متخصصین ما توسعه‌ داده‌اند آموزش دهید.
  •         به منظور آزاد کردن SOC خود از تسک‌های تریاژ هشدار روتین، از سرویس اثبات‌شده‌ی شناسایی و واکنش به رخدادی چون  Kaspersky Managed Detection and Response استفاده کنید. این سرویس فناوری‌های شناسایی مبتنی بر هوش مصنوعی را با مهارت فزاینده در شکار تهدید و واکنش به رخداد از واحدهای حرفه‌ای شامل تیم GReAT ترکیب می‌کند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.