Шпионаж на высшем уровне

Как обнаружили шпионский бэкдор в среде Apple
Максим Стулов / Ведомости
Максим Стулов / Ведомости

Главное событие в сфере цифровой безопасности этого лета – выявление «Лабораторией Касперского» и ФСБ России супершпионской программы в среде iOS (iPhone и iPad), которая попадает на устройство при помощи сообщения в iMessage. Для ее активации владелец устройства не должен делать ничего – даже открывать сообщение не требуется. Просто проникнув в телефон, вирус начнет собирать фото, видео и текстовую информацию и пересылать ее на удаленный сервер. Жертвами атаки стали видные топ-менеджеры и российские чиновники

iPhone под ударом

Практически одновременно об атаке на пользователей iOS сообщили представители «Лаборатории Касперского» (ЛК) и ФСБ. В ЛК рассказали, что обнаружили ранее неизвестное вредоносное программное обеспечение, которое атакует устройства с операционной системой iOS.

«Атака проводится при помощи невидимого iMessage-сообщения с вредоносным вложением, которое, используя ряд уязвимостей в операционной системе iOS, исполняется на устройстве и устанавливает шпионскую программу. Внедрение программы происходит абсолютно скрытно от пользователя и без какого-либо его участия», – пояснил основатель компании Евгений Касперский.

Как пояснили «Ведомости. Технологиям и инновациям» в антивирусной компании, уязвимость позволяет не только получать полный доступ к любой информации на устройстве, такой как фото, видео, файлы, в том числе текстовые, но и дает возможность злоумышленникам незаметно активировать микрофон и камеру телефона, т. е. они получают «полный контроль над зараженным устройством и доступ ко всем данным». ЛК удалось выявить «аномалию, исходящую с Apple-устройств, благодаря своей системе мониторинга и анализа сетевых событий».

«Дальнейшее расследование показало, что несколько десятков iPhone наших сотрудников оказались заражены новой, чрезвычайно технологически сложной шпионской программой, получившей название Triangulation («Триангуляция»), написал Касперский в своем блоге. Он отметил, что атака была направлена на сотрудников компании – как топ-менеджмент, так и руководителей среднего звена. В своем официальном заявлении ЛК отмечает, что «наиболее старые временные метки заражений указывают на 2019 г.» и атака продолжается до сих пор.

«По причине закрытости в iOS не существует (и не может существовать) каких-либо стандартных средств операционной системы для выявления и удаления этой шпионской программы на зараженных смартфонах, – добавил Касперский. – Данная операционная система является «черным ящиком», в котором годами могут скрываться шпионские программы, подобные Triangulation. Обнаружение и анализ таких угроз осложняется монополизацией Apple исследовательских инструментов, что создает для шпионских программ идеальное убежище». По словам основателя антивирусной компании, у пользователей создается иллюзия безопасности, связанная с «полной непрозрачностью системы», однако специалистам по IT-безопасности не известно, «что на самом деле происходит в iOS».

«Отсутствие новостей об атаках отнюдь не свидетельствует о невозможности самих атак – в чем мы только что убедились», – подчеркнул глава ЛК.

Несмотря на то что вредоносная платформа содержит код, разработанный специально для сокрытия возможных следов заражения, в операционной системе остается достаточно информации, позволяющей однозначно идентифицировать зараженные устройства. Компания описала несколько методов поиска следов заражения – например, ими была разработана специальная утилита, которой смогут воспользоваться продвинутые пользователи или IT-специалисты.

«Предупрежу сразу: использование утилиты – не самое простое занятие. Apple максимально усложнила анализ своих устройств, и занятие это будет напоминать шаманские пляски с бубном. Но это лучше, чем ничего», – отметил Касперский в своем блоге.

В тот же день, 1 июня, об атаке на устройства с iOS также рассказали в ФСБ, но в их сообщении не были раскрыты детали. В их заявлении было сказано, что совместно с ФСО России «вскрыта разведывательная акция американских спецслужб».

«В ходе обеспечения безопасности российской телекоммуникационной инфраструктуры выявлены аномалии, характерные только для пользователей мобильных телефонов Apple и обусловленные работой ранее неизвестного вредоносного программного обеспечения, использующего предусмотренные производителем программные уязвимости», – сообщила пресс-служба ФСБ.

По ее данным, заражению подверглось несколько тысяч телефонных аппаратов и выявлены факты заражения зарубежных номеров и абонентов, использующих sim-карты, зарегистрированные на диппредставительства и посольства в России, «включая страны блока НАТО и постсоветского пространства, а также Израиль, САР и КНР».

В ФСБ пришли к выводу, что полученная ими информация «свидетельствует о тесном сотрудничестве американской компании Apple с национальным разведсообществом, в частности АНБ США, и подтверждает, что декларируемая политика обеспечения конфиденциальности персональных данных пользователей устройств Apple не соответствует действительности».

«Компания предоставляет американским спецслужбам широкий спектр возможностей по контролю как за любыми лицами, представляющими интерес для Белого дома, включая их партнеров по антироссийской деятельности, так и за собственными гражданами», – резюмировали в ФСБ.

В Apple заявили, что «никогда не сотрудничали и не будут сотрудничать с каким-либо правительством для внедрения бэкдора в какой-либо продукт Apple». Однако уязвимость, о которой рассказали в антивирусной компании, и то, почему она все еще доступна, комментировать не стали. На запрос «Ведомости. Технологий» в компании не ответили.Утверждать со стопроцентной уверенностью, что ЛК и ФСБ говорят об одном и том же вирусе, нельзя. В антивирусной компании прямо на этот вопрос не ответили. Равно как не раскрыли подробностей операции по поиску этого зловреда – была ли она совместной со спецслужбами. В пресс-службе ЛК по этому поводу заявили следующее: «У нас нет такой информации».

Бэкдор для спецслужб

Силовые структуры США традиционно стремятся контролировать современные коммуникационные платформы как можно плотнее. Об этом миру в подробностях поведал Эдвард Сноуден. И не только он. На то, что американские спецслужбы просили сделать бэкдор (намеренно оставленную уязвимость, чтобы можно было читать переписку) в Telegram в 2017 г., жаловался его основатель Павел Дуров. ​​Когда он в 2016 г. приехал в Сан-Франциско для участия в ежегодной конференции Google I/O, в его съемную квартиру пришли двое агентов ФБР.

Дуров рассказал, что агенты предлагали ему создать неформальный канал, через который можно будет обмениваться информацией о конкретных пользователях мессенджера в случае возникновения террористической угрозы. Основатель мессенджера сказал, что ответит после того, как врученный ему судебный акт изучат его юристы.

Дуров рассказывал и о том, как ФБР пыталось подкупить одного из разработчиков Telegram. Программиста мессенджера, когда он приехал в США, допрашивали на границе сотрудники киберподразделения, после этого они еще раз встретились с ним в Сан-Франциско. Спецслужбы интересовала архитектура Telegram и алгоритмы шифрования. В итоге они предложили «порядка десятка тысяч долларов» за создание конфиденциального канала втайне от Дурова, через который он будет передавать властям США необходимые для них данные. Но программист рассказал создателю мессенджера о контактах с ФБР.

Также в 2017 г. в Twitter Дуров предсказал, что «бэкдор будет найден в течение пяти лет» в Signal, WhatsApp или Facebook.

В 2019 г. (когда были выявлены первые следы атаки Triangulation) объединение спецслужб «Пять глаз», куда входят Великобритания, США, Австралия, Канада и Новая Зеландия, заявило, что не может получить доступ к сообщениям WhatsApp, из-за того что тот пользуется сквозным шифрованием. Это означает, что все данные, которыми обмениваются между собой пользователи (фото, видео, текст и т. д.), хранятся только на устройствах, т. е. не хранятся на серверах запрещенной в России организации Meta (владеет WhatsApp). Благодаря этому спецслужбы не могут получить доступ к этой информации, и поэтому, по утверждению ряда медиа, они запросили у этой корпорации бэкдор.

Но спустя некоторое время специалисты по кибербезопасности нашли в мессенджере бэкдоры.

Первая уязвимость была найдена в сентябре 2022 г. – она позволяла злоумышленникам заразить смартфон жертвы с помощью видеозвонка, после чего он получал полный контроль над WhatsApp. Уязвимости был присвоен самый высокий уровень угрозы в американской национальной базе данных уязвимостей – 9,8 из 10.

Вторая, обнаруженная тогда же, давала возможность удаленно запускать вредоносный код через зараженный видеофайл, который жертва должна была воспроизвести. В результате удачной атаки хакер получал полный контроль над устройством. Уязвимости был присвоен рейтинг 7,8 из 10.

По мнению руководителя департамента информационно-аналитических исследований компании T.Hunter Игоря Бедерова, бэкдоры были всегда и большая часть из них – это «результат халатности разработчиков», но часть может появиться не случайно.

«Компании могут пойти навстречу спецслужбам и, например, залить такой бэкдор вместе с очередным обновлением системы», – отмечает он. По словам члена Совета при президенте РФ по развитию гражданского общества и правам человека Игоря Ашманова, бэкдоры создаются по заказу иностранных спецслужб последние 20 лет.

«Я думаю, таких бэкдоров десятки, про которые мы еще не знаем. А в случае с Apple просто одну из закладок обнаружили», – уверен Ашманов.

Бэкдоры такой сложности, как в случае с iMessage, встречаются не часто, объясняет руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies Денис Кувшинов. Обычно вирусы и уязвимости всплывают при раскрытии высокопрофессиональных кампаний по шпионажу.

«Много уязвимостей остаются в неизвестной, неисследованной зоне. Ими вполне могут пользоваться хакеры, пока их не обнаружат», – рассказал Кувшинов.

По его словам, гаджет, так же как и любое программное обеспечение, подвержен уязвимостям и «не заслуживает тотального доверия с точки зрения защиты от киберугроз».

«IPhone – не исключение. Все хранящиеся на смартфоне пользовательские данные злоумышленник может украсть за несколько минут, просто отправив специальную sms или ссылку, которая активирует неизвестную уязвимость в системе и даст хакеру полный доступ к функциям и данным телефона, – объясняет Кувшинов. – Некоторые злоумышленники таким образом не просто крадут фотографии, аккаунты, данные карт и т. п., но и шпионят за своими жертвами в реальном времени – прослушивают разговоры, читают sms и сообщения в мессенджерах».

Для таких целей разработано хакерское программное обеспечение, а также налажен процесс исследования или покупки уязвимостей, позволяющих в один клик загрузить вредоносный код в телефон, говорит Кувшинов.

По мнению Ашманова, если пользователи не хотят, чтобы за ними следили, то им нужно пользоваться либо кнопочными телефонами, либо китайскими смартфонами, например Huawei без сервисов Google, так как китайцы не являются противниками России.

В центре общественных связей ФСБ не ответили на запрос «Ведомости. Технологий и инноваций».