قالت شركة الأمن السيبراني كاسبرسكي Kaspersky ومقرها موسكو، إن الأجهزة العاملة بنظام التشغيل iOS من آبل، مستهدفة من قبل برنامج ضار لم يكن معروفا من قبل، وذلك بعد أن اكتشفت الشركة تهديدا جديدا أثناء مراقبة حركة مرور لشبكة Wi-Fi الخاصة بها.
وبحسب ما ذكره موقع "techrepublic"، أطلقت كاسبرسكي على الهجوم الجديد اسم "عملية المثلثات" Operation Triangulation، وأكد باحثو الأمن السيبراني بالشركة أن البرنامج الضار يعود لعام 2019، مع استمرار الهجمات اعتبارا من عام 2023 وتؤثر على أحدث إصدارات نظام تشغيل أجهزة آيفون تصل إلى إصدار iOS 15.7.
وأثار تقرير كاسبرسكي جدلا كبيرا، حيث ادعت دائرة الأمن الفيدرالية الروسية أن الآلاف من الروس، بمن فيهم الدبلوماسيون الأجانب والمسؤولون الحكوميون، قد تم استهدافهم واختراقهم بواسطة البرامج الضارة، واتهم جهاز الأمن الفيدرالي الروسي شركة آبل ووكالة الأمن القومي الأمريكية بتدبير الهجمات، ولكن نفت مصنعة آيفون هذا الادعاء.
كيف يعمل هذا الهجوم بدون نقرات
الثغرة الأمنية الجديدة في نظام تشغيل آبل iOS هي هجوم بدون نقرة، على عكس معظم هجمات البرامج الضارة التي تتطلب من المستخدمين اتخاذ إجراء ما، مثل تنزيل ملف أو النقر فوق ارتباط مشبوه، فإن هجمات الضغط الصفري قابلة للتنفيذ ذاتيا، ولا تتطلب أي إجراء من المستخدمين.
وأعادت كاسبرسكي بناء تسلسل الإصابة من خلال تحليل الجدول الزمني للأجهزة المحمولة المخترقة، ويبدأ الهجوم عندما يتلقى جهاز iOS المستهدف رسالة عبر خدمة iMessage. ستتضمن الرسالة المرسلة مرفقا يحتوي على الاستغلال، ومع عدم وجود تفاعل من المستخدم عند تلقي الرسالة فإن الثغرة الأمنية تؤدي إلى تنفيذ التعليمات البرمجية.
ويقوم الكود الموجود في الاستغلال بتنزيل عدة مراحل لاحقة من خادم الأوامر والتحكم الذي يتحكم فيه منفذ الهجوم ومن ثم يمكنه السيطرة الكاملة على بيانات الجهاز والمستخدم، بهدف التجسس الخفي على المستخدمين، وبمجرد نجاح الاستغلال، يتم تنزيل الحمولة النهائية من خادم القيادة والتحكم، ويحذف البرنامج الضار الرسالة الأولية ومرفق الاستغلال.
وتقول الشركة إن كود التهديد يعمل بامتيازات الجذر وينفذ مجموعة من الأوامر لجمع معلومات النظام والمستخدم، يمكنه أيضا تشغيل تعليمات برمجية عشوائية تم تنزيلها كوحدات إضافية من خادم القيادة والتحكم، ويشير تحليل المخططات الزمنية المتعددة لجهاز iOS إلى إمكانية إعادة الإصابة بعد إعادة تشغيل الجهاز.
وأوضحت كاسبرسكي أنه نظرا لأنه لا يمكن فحص أجهزة iOS من الداخل لاكتشاف التهديد، يجب إنشاء نسخ احتياطية للأجهزة دون اتصال بالإنترنت، ويتم فحص النسخ الاحتياطية باستخدام مجموعة أدوات التحقق من الهاتف المحمول، والتي تتيح التحليل الجنائي لأجهزة أندرويد وآيفون وتستخدم لتحديد آثار الاختراق.
وستحتوي النسخة الاحتياطية للجهاز المحمول على نسخة جزئية من نظام الملفات وبعض بيانات المستخدم وقواعد بيانات الخدمة، وبينما يغطي الهجوم مساراته من خلال حذف الرسالة الأولية واستغلال المرفقات، لا يزال من الممكن تحديد ما إذا كان الجهاز قد تم اختراقه من خلال تحليل الجدول الزمني، ووفقا لـ كاسبرسكي، يمكن أيضا نقل البرامج الضارة من نسخة احتياطية من iTune.
كيفية التحقق من أجهزة iOS بحثا عن البرامج الضارة
طرح باحثو كاسبرسكي أداة خاصة جديدة تحمل اسم triangle_check لتتولى عملية البحث التلقائي عن أي حالات إصابة بالبرامج الضارة، وتتوفر الأداة للمستخدمين في خدمة GitHub، وهي متاحة أيضا للأجهزة العاملة بأنظمة التشغيل macOS و Windows و Linux.
وتتيح هذه الأداة للمستخدمين البحث تلقائيا عن آثار الإصابة بالبرامج الخبيثة، ومن ثم التحقق من احتمال تعرض أجهزتهم للإصابة، وتحث كاسبرسكي مالكو أجهزة آبل على عمل نسخة احتياطية للجهاز قبل تثبيت الأداة المساعدة، وفي حال الانتهاء من النسخ، يمكنهم تثبيت الأداة وتشغيلها.
وإذا عثرت الأداة على مؤشرات تدل على الاختراق، ستعرض إشعارا يفيد بالكشف عن وجود خرق أمني، لتأكيد إصابة الجهاز، أو ستظهر الأداة رسالة "لم يتم التعرف على أي أثر لاختراق محتمل" إذا لم تكتشف أي مؤشرات تدل على الاختراق.