Istraživači tvrtke Kaspersky su otkrili vrlo napredan špijunski alat nazvan TriangleDB. Alat se koristi, navodi se iz Kasperskog, u operaciji hakiranja poznatijoj kao Triangulacija.
Prema upozorenju koje je Kaspersky objavio ranije danas, TriangleDB ciljano napada iOS uređaje putem zlonamjernog privitka unutar iMessage poruke. Alat se implementira nakon što napadači steknu root privilegije iskorištavanjem ranjivosti jezgre.
Nakon instalacije, TriangleDB ostaje u memoriji uređaja, a iznimno ga je teško otkriti. Ali, ako ponovno pokrenete uređaj, sigurnosni alati će ga detektirati i ukloniti. Ako ne izvršite ponovno pokretanje, TriangleDB će se automatski deinstalirati nakon 30 dana.
TriangleDB je dizajniran u Objective-C jeziku, a komunicira s poslužiteljem za naredbe i kontrolu (C2) koristeći Protobuf biblioteku. Poruke koje se razmjenjuju između implantata i poslužitelja šifrirane su simetričnom i asimetričnom kriptografijom.
C2 poslužitelj šalje naredbe implantatu, koje se izvršavaju radi obavljanja različitih zadataka.
Ove naredbe uključuju interakciju s datotečnim sustavom uređaja, praćenje procesa, dohvaćanje stavki, praćenje geolokacije i kontrola dodatnih modula.
Jedna od najznačajnijih mogućnosti je nadgledanje direktorija za promijenjene datoteke koje odgovaraju određenim regularnim izrazima. Te datoteke zatim se planiraju izvesti na C2 poslužitelj.
Daljnja analiza TriangleDB je u tijeku, a istraživači navode da će nastaviti istraživati kampanju kako bi prikupili više detalja o njoj.
“Pozivamo zajednicu kibernetičke sigurnosti da se ujedini, dijeli znanje i surađuje kako bi stekla jasniju sliku o prijetnjama koje postoje.” – mole iz Kasperskog
Upozorenje o TriangleDB implantatu dolazi nekoliko tjedana nakon što je Kaspersky objavio novi automatizirani alat koji pomaže iOS korisnicima testirati je li njihov uređaj zaražen određenim malicioznim programom iz operacije Triangulacija.
