知名反病毒软件开发商卡巴斯基日前发文透露该公司遭遇的一种复杂攻击，这次攻击被卡巴斯基实验室命名为三角测量 (IOSTriangulation)，得益于卡巴斯基日常的安全管理，此次攻击不仅被发现了，而且对卡巴斯基实验室没有产生太大影响。

卡巴斯基创始人尤金卡巴斯基详细描述了漏洞以及卡巴斯基的发现过程，根据说明黑客早在 2019 年就已经渗透了卡巴斯基员工的手机。

开始：

卡巴斯基对于内网的管理比较严格，员工可以在公司连接 WiFi，但这个 WiFi 是专门划分出来给移动设备使用的，使用 VLAN 隔离。

同时卡巴斯基还对这个 VLAN 的流量进行监控，最终卡巴斯基在流量中发现了某些异常网址，这才发现有几十名名员工已经遭到入侵。

零点击漏洞 (0 click)：

零点击漏洞指的是不需要用户进行任何交互的漏洞，此类漏洞大部分都属于危害程度极高的漏洞，也是各大操作系统最关心的漏洞类型之一。

黑客利用苹果 iMessage 服务的零点击漏洞，向卡巴斯基员工发送一条带有附件的 iMessage 消息，卡巴斯基的员工 iPhone 接收到这条消息后就会被自动感染，并植入恶意软件。

恶意软件功能：

当 iPhone 被恶意软件感染后，黑客就开始收集各种敏感信息并上传到 C&C 服务器，窃取的信息包括但不限于：GPS 位置信息、使用麦克风录音、各种即时通讯软件的截图、iPhone 上的其他数据。

黑客使用了几十个看起来正常的域名用于传输这些信息，避免被卡巴斯基监测到异常，例如这种域名：businessvideonews [.] com

经过分析后卡巴斯基实验室认为此次攻击、攻击者、利用的漏洞与之前出现的 NSO 集团飞马座 (Pegasus)、以色列的 Predator、Reign 无关，也就是一起独立的攻击活动。

无法实现持久化，必须重复感染：

可能是由于 iOS 的某种机制，这个恶意软件无法进行持久化，也就是每次重启系统后恶意软件都会被停掉，攻击者必须重新感染以启动。

根据卡巴斯基的调查，部分员工的 iPhone 被重复感染过多次。例如 iOS 自动更新时就会重启系统，那么攻击者就必须重复感染一次。

受感染的设备如何清理：

必须恢复出厂设置并完全重新设置，不能使用备份数据恢复，因为植入的恶意软件可能会从备份中恢复。

iMessage 受保护模式：

苹果在去年年底为 iCloud 推出高级数据保护功能，此功能开启后 iOS 不少功能都会被限制，但安全性会被增强。其中有一点就是 iMessage 附加下载功能也会被禁用，这可能有助于防止这种攻击。

攻击目的分析：

卡巴斯基认为该公司并不是黑客的主要目标，使用如此复杂的攻击方式并开采 iMessage 零点击漏洞，说明黑客不差钱，所以这次攻击大概率带有其他目的。

而且卡巴斯基可能只是众多被攻击的机构之一，大概率还有不少机构遭到类似的攻击。

漏洞是否修复：

根据卡巴斯基的说明，相关漏洞情况已经通报给苹果，但苹果始终没有回复通道。但测试显示苹果在今年 2 月发布的 iOS 更新中修复了这枚漏洞，至于为什么没有回复卡巴斯基的通报暂时还不知道原因。

后记：

由于此次攻击非常复杂，目前卡巴斯基分析 (透露) 出来的消息还不多，卡巴斯基称后续有新消息将继续发布博客说明。

此事件被命名为 IOSTriangulation，卡巴斯基做了个专题页面：https://securelist.com/trng-2023/