L'expérience du piratage est que certains employés du développeur de logiciels antivirus Kaspersky ont déjà été attaqués et que leurs iPhones ont été implantés d'une manière ou d'une autre avec un logiciel espion. Kaspersky a découvert des anomalies grâce à la surveillance du trafic du réseau interne, et l'attaque a ensuite été appelée triangulation.

Kaspersky continue de suivre les attaques par triangulation. Après des recherches, les chercheurs de Kaspersky ont découvert une méthode permettant de détecter rapidement si un iPhone est implanté avec un logiciel espion.

Dans le passé, si vous souhaitez détecter si un logiciel malveillant a été implanté, vous devez sauvegarder l'intégralité de l'iPhone, puis utiliser les données de sauvegarde pour vérifier s'il y a des anomalies. Kaspersky a désormais découvert une méthode de détection légère : iShutdown.

shutdown.log est un fichier journal. Kaspersky a trouvé certaines similitudes après avoir étudié le logiciel espion Pegasus du développeur israélien de logiciels espions NSO Group, le logiciel espion Reign du développeur israélien de logiciels espions QuaDream et le logiciel espion Predator du développeur israélien de logiciels espions Intellexa.

Ce qu’ils ont en commun, c’est qu’ils laisseront des traces dans le journal de redémarrage de l’appareil. En termes simples, puisque tous les logiciels espions espèrent être persistants, ils doivent également rester en arrière-plan pendant une longue période, d'une manière ou d'une autre.

Par conséquent, lorsque l'iPhone redémarre, ces processus liés aux logiciels espions entraveront le processus de redémarrage du système, ce qui entraînera un temps de redémarrage légèrement plus long, et le système laissera également des entrées pertinentes dans le journal pour enregistrer ces événements.

L'enquête a révélé que trois développeurs de logiciels espions commerciaux israéliens utilisaient tous des chemins de système de fichiers similaires : /private/var/db/ et /private/var/tmp/.

Kaspersky a déclaré que lorsque les utilisateurs redémarrent fréquemment leur iPhone, il est plus facile d'observer les entrées pertinentes dans les journaux, donc à l'avenir, seul le fichier shutdown.log devra être extrait pour analyser si l'iPhone est infecté par un logiciel espion.

Il convient de rappeler que shutdown.log n'est pas généré par le système lui-même. Le système iOS enregistre principalement les journaux via sysdiag, donc shutdown.log doit être généré et exporté pour une utilisation réelle. Le fichier exporté fait environ 200 à 400 Mo au format .tar.gz. Les journaux requis après décompression se trouvent dans system_logs.logarchiveExtra.

À cette fin, Kaspersky a écrit un script utilisant Python, capable de rechercher automatiquement les entrées anormales dans les journaux exportés. Si des entrées anormales sont trouvées, les chercheurs doivent vérifier soigneusement le contenu du journal correspondant pour analyser si elles sont infectées par un logiciel espion.

Enfin, on ne sait pas encore clairement qui a lancé l’attaque par triangulation contre Kaspersky. Le logiciel espion utilisé dans l’attaque par triangulation est un nouveau logiciel et n’a pas été produit par plusieurs développeurs de logiciels espions commerciaux israéliens.

Lien supplémentaire : https://github.com/KasperskyLab/iShutdown