Директор глобального центра исследования и анализа угроз Лаборатории Касперского Игорь Кузнецов на видео ЦОС ФСБ России подробно рассказал о схеме взлома устройств Apple. По его словам, атака осуществляется посредством установки уникального программного обеспечения через «невидимое» сообщение в программе iMessage. После заражения злоумышленники получают на свой сервер аудиозаписи и сообщения пользователя, охватывающие последние три дня.
Ранее ФСБ сообщила о вскрытии широкомасштабной акции иностранных спецслужб по внедрению вредоносного ПО на мобильные телефоны высокопоставленных российских чиновников. Целью атаки было снятие данных, прослушивание переговоров и негласный контроль обстановки вблизи устройств. Подробности инцидента приводит РИА Новости.
Специалисты Лаборатории Касперского обнаружили подозрительную активность в ходе стандартного мониторинга собственной Wi-Fi сети в московском офисе в 2023 году. Выяснилось, что заражению подверглись исключительно устройства iPhone.
Для исследования эксперты использовали смартфоны коллег. Как пояснил Кузнецов, при работе с зараженными устройствами камеру сразу заклеивали, чтобы оператор с той стороны не мог выключить атаку, увидев, что телефон изучают.
«Нам ушло более полугода на то, чтобы восстановить всю картину… я очень горжусь этим, мы единственная компания, которая смогла на тот момент полностью восстановить всю историю, восстановить все инструменты компрометации, проанализировать атаку и рассказать об этом миру», – отметил Кузнецов.
Механизм атаки заключается в получении невидимого сообщения в iMessage. Кузнецов подчеркнул: «Как только сообщение приходило на телефон, это уже была атака». Сообщение начинало обрабатываться, запуская вредоносную программу, и сразу же удалялось. Затем серия сложных эксплойтов обходила системы защиты, получая полный контроль над устройством. Шпионское ПО незаметно для пользователя снимало программные ограничения.
Вредоносный код содержал множество модулей. Среди них были компоненты, включавшие микрофон для записи аудио на три часа вперед. Запись отправлялась на атакующий сервер при первом же появлении интернет-соединения, независимо от того, было ли оно доступно в момент записи. Также использовались модули для сбора сообщений за последние три дня.
