La experiencia de ser pirateado fue que algunos empleados del desarrollador de software antivirus Kaspersky fueron atacados previamente y sus iPhones de alguna manera fueron implantados con software espía. Kaspersky descubrió anomalías a través del monitoreo del tráfico de la red interna y el ataque luego se denominó triangulación.
Kaspersky sigue rastreando los ataques de triangulación. Después de una investigación, los investigadores de Kaspersky descubrieron un método que puede detectar rápidamente si un iPhone tiene implantado software espía.
En el pasado, si deseaba detectar si se había implantado malware, necesitaba hacer una copia de seguridad de todo el iPhone y luego usar los datos de la copia de seguridad para verificar si hay alguna anomalía. Ahora Kaspersky ha descubierto un método de detección ligero: iShutdown.
Shutdown.log es un archivo de registro. Kaspersky encontró algunas similitudes después de estudiar el software espía Pegasus del desarrollador de software espía israelí NSO Group, el software espía Reign del desarrollador de software espía israelí QuaDream y el software espía Predator del desarrollador de software espía israelí Intellexa.
Lo que tienen en común es que dejarán algunos rastros en el registro de reinicio del dispositivo. En pocas palabras, dado que todo software espía espera ser persistente, de alguna manera también debe permanecer en segundo plano durante mucho tiempo.
Por lo tanto, cuando el iPhone se reinicia, estos procesos relacionados con el software espía obstaculizarán el proceso de reinicio del sistema, lo que hará que el tiempo de reinicio sea un poco más largo y el sistema también dejará entradas relevantes en el registro para registrar estos eventos.
La investigación encontró que tres desarrolladores israelíes de software espía comercial utilizaban rutas de sistema de archivos similares: /private/var/db/ y /private/var/tmp/.
Kaspersky dijo que cuando los usuarios reinician con frecuencia sus iPhones, es más fácil observar las entradas relevantes en los registros, por lo que en el futuro, sólo será necesario extraer el archivo Shutdown.log para analizar si el iPhone está infectado con software espía.
Cabe recordar que el archivo Shutdown.log no lo genera el propio sistema. El sistema iOS registra principalmente registros a través de sysdiag, por lo que Shutdown.log debe generarse y exportarse para su uso real. El archivo exportado tiene entre 200 y 400 MB en el formato .tar.gz. Los registros necesarios después de la descompresión se encuentran en system_logs.logarchiveExtra.
Con este fin, Kaspersky escribió un script usando Python, que puede buscar automáticamente entradas anormales en los registros exportados. Si se encuentran entradas anormales, los investigadores deben verificar cuidadosamente el contenido del registro correspondiente para analizar si están infectados por software espía.
Finalmente, aún no está claro quién inició el ataque de triangulación contra Kaspersky. El software espía utilizado en el ataque de triangulación es software nuevo y no fue producido por varios desarrolladores de software espía comerciales israelíes.
Enlace adicional: https://github.com/KasperskyLab/iShutdown