大国博弈之APT三角测量行动

三角行动曝光，全球网络安全挑战，俄罗斯网络安全公司卡巴斯基 (Kaspersky) 在2023/06/02披露了一系列针对 iPhone 的持续攻击，这让三角测量行动曝光。 该活动利用了 iOS 缺陷和 iMessage 信息 无需用户参与即可安装恶意软件的零点击方法。

为了应对这种威胁， 卡巴斯基 将这次行动称为“三角操作” 并邀请任何有知识的人挺身而出并与他们合作。

本文探讨了该活动的细节、结果以及俄罗斯联邦安全局情报和安全机构提出的指控。

卡巴斯基将他们解决这一危险的倡议称为“三角行动”，并鼓励任何有信息的人挺身而出并与他们合作

Operation Triangulation 使用 iOS 漏洞

卡巴斯基的一项调查表明 iMessage 零点击 黑客用来利用 iOS 漏洞的攻击在 苹果手机 链接到他们的网络。

这些方法允许在不涉及用户的情况下向设备分发恶意代码。 通过利用此漏洞，攻击者可以从其服务器秘密下载更多恶意软件。

即使原始邮件和附件是 迅速删除，留下了具有根权限的隐藏有效负载，使攻击者能够收集私人数据，发出远程命令并保持持久性。

特洛伊木马已通过三角剖分行动进行彻底分析

卡巴斯基 用过 移动的 确认 用于详细分析病毒以克服病毒带来的困难的工具包 iOS的 封闭式架构。 通过生成受感染 iPhone 的文件系统备份，发现了有关攻击过程和病毒运行的重要细节。

尽管恶意软件试图删除其存在的证据，但感染迹象仍然存在。 其中包括已弃用的库注入、对阻止安装 iOS 升级的系统文件的更改以及异常的数据消耗模式。

通过在受感染的 iPhone 上复制文件系统，研究人员了解了有关攻击方法和病毒功能的重要信息

感染症状最早被发现于 2019, 根据对收集到的数据的进一步分析。 尤其， iOS 15.7 是最新版本的 iOS 成为这个恶意工具包的目标，尽管 iOS 16.5 是研究时的最新主要更新。 重要的是要记住，以后 iOS 升级可能已经修复了在这些攻击中被利用的缺陷，从而降低了运行最新版本的设备的危险。

与有害行为相关的网站

卡巴斯基已向安全管理员提供了一份包含 15 个与 Operation Triangulation 操作相关联的域的列表。 管理员可以通过查看旧的 DNS 日志来发现对其设备的任何利用。

一旦恶意软件获得更多访问权限，它就会下载一个完整的工具包，使攻击者可以控制指令的执行、用户和系统数据的收集以及从命令和控制 (C2) 服务器检索更多模块.

重要的是要注意这些攻击中使用的 APT 工具包缺乏持久性功能。 因此，快速的设备重启可以有效地阻止恶意软件的活动。 关于恶意软件功能的具体信息仍然很少，因为最终有效负载的研究仍在进行中。

通过检查过去的 DNS 日志，管理员可以发现他们的设备是否已被入侵

俄罗斯指责美国

结合卡巴斯基的调查结果，指控苹果与 美国国家安全局 由俄罗斯联邦安全局情报和安全机构制作。 根据 外频Apple 故意给了 美国国家安全局 一个后门，允许美国国家安全局用恶意软件感染俄罗斯的 iPhone。

他们进一步声称，一些被黑客入侵的设备属于各个大使馆的工作人员和俄罗斯政府的成员。 不过这 外频 ，尚未提供任何硬数据来支持这些断言。

俄罗斯政府此前曾鼓励其总统行政部门和政府人员停止使用苹果 iPhone，并远离美国制造的设备。 袭击对卡巴斯基莫斯科总部和国际工作人员的影响得到证实。

然而，该公司明确表示，由于无法获得政府的技术调查信息，因此无法确认其结果与 FSB 报告之间的直接联系。 然而，俄罗斯 CERT 已发布警告，将 FSB 的断言与卡巴斯基的结果联系起来。

原文始发于微信公众号（紫队安全研究）：大国博弈之APT三角测量行动