وتمثلت تجربة الاختراق في أن بعض موظفي شركة تطوير برامج مكافحة الفيروسات Kaspersky تعرضوا سابقًا لهجوم، وتم زرع برامج تجسس في أجهزة iPhone الخاصة بهم بطريقة أو بأخرى. اكتشف كاسبرسكي حالات شاذة من خلال مراقبة حركة المرور على الشبكة الداخلية، وتم تسمية الهجوم لاحقًا باسم التثليث.

لا يزال Kaspersky مستمرًا في تتبع الهجمات التثليثية. بعد البحث، اكتشف باحثون في كاسبرسكي طريقة يمكنها الكشف بسرعة عما إذا كان جهاز iPhone مزودًا ببرامج تجسس أم لا.

في الماضي، إذا كنت تريد اكتشاف ما إذا كان قد تم زرع برامج ضارة، فستحتاج إلى عمل نسخة احتياطية لجهاز iPhone بالكامل، ثم استخدام بيانات النسخ الاحتياطي للتحقق مما إذا كان هناك أي خلل. اكتشف Kaspersky الآن طريقة كشف خفيفة الوزن: iShutdown.

Shutdown.log هو ملف سجل. وجدت كاسبرسكي بعض أوجه التشابه بعد دراسة برنامج التجسس Pegasus التابع لشركة NSO Group الإسرائيلية لتطوير برامج التجسس، وبرنامج التجسس Reign التابع لمطور برامج التجسس الإسرائيلي QuaDream، وبرنامج التجسس Predator التابع لمطور برامج التجسس الإسرائيلي Intellexa.

القاسم المشترك بينهما هو أنهم سيتركون بعض الآثار في سجل إعادة تشغيل الجهاز. ببساطة، نظرًا لأن جميع برامج التجسس تأمل أن تكون مستمرة، فيجب أيضًا أن تظل في الخلفية لفترة طويلة بطريقة ما.

لذلك، عند إعادة تشغيل جهاز iPhone، ستعيق هذه العمليات المتعلقة ببرامج التجسس عملية إعادة تشغيل النظام، مما يتسبب في إطالة وقت إعادة التشغيل قليلاً، وسيترك النظام أيضًا الإدخالات ذات الصلة في السجل لتسجيل هذه الأحداث.

وجد التحقيق أن ثلاثة مطورين إسرائيليين لبرامج التجسس التجارية استخدموا مسارات نظام ملفات مماثلة: /private/var/db/ و/private/var/tmp/

قال Kaspersky إنه عندما يقوم المستخدمون بإعادة تشغيل أجهزة iPhone الخاصة بهم بشكل متكرر، يكون من الأسهل مراقبة الإدخالات ذات الصلة في السجلات، لذلك في المستقبل، يجب استخراج Shutdown.log فقط لتحليل ما إذا كان iPhone مصابًا ببرامج تجسس.

يجب التذكير بأن ملف Shutdown.log لا يتم إنشاؤه بواسطة النظام نفسه. يقوم نظام iOS بشكل أساسي بتسجيل السجلات من خلال sysdiag، لذلك يجب إنشاء Shutdown.log وتصديره للاستخدام الفعلي. يبلغ حجم الملف الذي تم تصديره حوالي 200 إلى 400 ميجابايت بتنسيق ‎.tar.gz. السجلات المطلوبة بعد فك الضغط موجودة في system_logs.logarchiveExtra.

ولتحقيق هذه الغاية، كتب Kaspersky برنامجًا نصيًا باستخدام Python، والذي يمكنه البحث تلقائيًا عن الإدخالات غير الطبيعية في السجلات المصدرة. إذا تم العثور على إدخالات غير طبيعية، يحتاج الباحثون إلى التحقق بعناية من محتوى السجل المقابل لتحليل ما إذا كانت مصابة ببرامج التجسس.

أخيرًا، ليس من الواضح حتى الآن من الذي بدأ الهجوم التثليث ضد كاسبرسكي. برنامج التجسس المستخدم في الهجوم التثليث هو برنامج جديد ولم يتم إنتاجه من قبل العديد من مطوري برامج التجسس التجارية الإسرائيلية.

رابط إضافي: https://github.com/KasperskyLab/iShutdown