Kaspersky揭露移动恶意软件攻击

关键要点

• Kaspersky研究人员发现了一起针对其研究人员的移动恶意软件活动。
• 该活动与俄罗斯情报服务指控美国政府与苹果合作，在苹果手机中植入后门的报告同时发布。
• 恶意软件使用“零点击”技术进行攻击，无需用户交互。
• Kaspersky否认将此活动归因于任何政府或组织，并强调未发现苹果的参与。

Kaspersky的研究人员最近揭露了一场针对公司内部员工的移动恶意软件活动，这一发现与俄罗斯情报部门的相关指控几乎在同一时间发生。该部门指控美国政府和苹果公司共同在苹果手机中植入后门。

在的帖子中，Kaspersky的四位研究人员披露，他们在监测公司网络Wi-
Fi流量时发现了这一活动。由于iPhone在法医取证方面的难度，Kaspersky公司能够利用设备的离线备份部分检查文件系统、用户数据和数据库。

“手机连接到服务器获取附件或iMessage，不久之后，手机开始连接一些可疑的域名。我们开始对此进行深入调查，并成功恢复了一个APT平台，该平台被交付到这些设备上。”
Kaspersky全球研究与分析团队EEMEA负责人Igor Kuznetsov在周四告诉SC Media。

这一努力揭示了“特定的证据”表明，数部公司手机感染了。根据Kaspersky的说法，使用iOS操作系统的软件的目标设备将接收到一条带有恶意软件附件的iMessage。这条消息会自动触发一个漏洞，允许远程代码执行，并向指挥与控制服务器发送请求以获取额外的恶意软件载荷，从而实现特权升级和其他功能，同时删除该消息本身。

Kuznetsov指出，第一个漏洞提供了初始访问和妥协，而第二个则让攻击者获取设备的内核级访问权限。被针对的个人不仅是安全研究人员，还有公司的管理者和高层领导。

“它可以获得手机的完全根访问权限，基本上控制所有传感器、麦克风、屏幕，以及手机上的所有数据——然后开始从服务器接收指令，完成操作员所要求的事情。”

Amnesty Tech安全实验室负责人DonnchaCearhaill表示，Kaspersky利用其移动验证工具发现了这一攻击，并在GitHub上发布了一份与该活动相关的。

起初，Kaspersky的研究人员以为他们可能遭受了著名的Pegasus移动恶意软件的攻击，该恶意软件由开发，但Kuznetsov表示，除零点击攻击方法外，Pegasus与他们发现的移动恶意软件活动之间并没有交集。

Kaspersky目前仍在调查最终的载荷，但公司表示他们相信这种活动已经持续多年。

“多部设备的时间线表明，它们可能在重启后再次感染。我们发现的最早感染痕迹出现在2019年。截至2023年6月写作时，攻击依然在进行中，最近成功定位的设备版本为iOS
15.7，”研究人员写道。

俄罗斯政府的主张超出Kaspersky的声明

在Kaspersky研究发布的同一天，俄罗斯CERT发布了一份，提及Kaspersky的研究，但扩展了主张，声称联邦安全局(FSB)发现了一个使用苹果移动设备的美国情报行动。报告称发现“数千部”感染手机，包括与俄罗斯大使馆人员相关的SIM卡以及中国、北约国家、以色列和其他国家的个人和组织。

“在保障俄罗斯电信基础设施安全的过程中，发现只属于苹果手机用户的异常现象，这些现象是由操作未曾知晓的恶意软件(VPO)造成，该恶意软件利用了制造商提供的软件漏洞，”FSB在谷歌翻译的