ハッキングされた経験としては、ウイルス対策ソフト開発会社カスペルスキー社の従業員の一部が以前に攻撃を受けており、彼らのiPhoneに何らかの形でスパイウェアが埋め込まれていたという。カスペルスキーは内部ネットワークのトラフィック監視を通じて異常を発見し、この攻撃は後に三角測量と呼ばれるようになりました。
カスペルスキーは現在も三角測量攻撃の追跡を続けています。カスペルスキーの研究者らは研究の結果、iPhone にスパイウェアが埋め込まれているかどうかを迅速に検出できる方法を発見しました。
従来、マルウェアが埋め込まれているかどうかを検出するには、iPhone全体をバックアップし、そのバックアップデータを使用して異常がないかを確認する必要がありました。カスペルスキーは、iShutdown という軽量の検出方法を発見しました。
shutdown.log はログ ファイルです。 Kaspersky は、イスラエルのスパイウェア開発者 NSO Group の Pegasus スパイウェア、イスラエルのスパイウェア開発者 QuaDream の Reign スパイウェア、イスラエルのスパイウェア開発者 Intellexa の Predator スパイウェアを調査した結果、いくつかの類似点を発見しました。
これらに共通するのは、デバイスの再起動ログに何らかの痕跡が残ることです。簡単に言うと、すべてのスパイウェアは永続的であることを望んでおり、何らかの方法で長期間バックグラウンドに留まらなければなりません。
したがって、iPhone が再起動すると、これらのスパイウェア関連のプロセスがシステムの再起動プロセスを妨げ、再起動時間がわずかに長くなります。また、システムはこれらのイベントを記録するために関連するエントリをログに残します。
調査の結果、イスラエルの商用スパイウェア開発者 3 名が全員、同様のファイル システム パス /private/var/db/ および /private/var/tmp/ を使用していたことが判明しました。
カスペルスキーは、ユーザーがiPhoneを頻繁に再起動すると、ログ内の関連エントリを観察しやすくなるため、将来的にはiPhoneがスパイウェアに感染しているかどうかを分析するためにshutdown.logのみを抽出する必要があると述べた。
shutdown.log はシステム自体によって生成されるものではないことに注意してください。 iOS システムは主に sysdiag を通じてログを記録するため、実際に使用するには shutdown.log を生成してエクスポートする必要があります。エクスポートされたファイルは、.tar.gz 形式で約 200 ~ 400MB です。解凍後に必要なログは system_logs.logarchiveExtra にあります。
この目的のために、Kaspersky は Python を使用して、エクスポートされたログ内の異常なエントリを自動的に検索できるスクリプトを作成しました。異常なエントリが見つかった場合、研究者は対応するログの内容を注意深く確認して、スパイウェアに感染していないかどうかを分析する必要があります。
最後に、カスペルスキーに対する三角測量攻撃を誰が開始したのかはまだ明らかではありません。三角測量攻撃で使用されたスパイウェアは新しいソフトウェアであり、イスラエルの商用スパイウェア開発者数社によって作成されたものではありません。
追加リンク: https://github.com/KasperskyLab/iShutdown