Die Erfahrung eines Hackerangriffs bestand darin, dass einige Mitarbeiter des Antiviren-Softwareentwicklers Kaspersky zuvor angegriffen wurden und ihre iPhones irgendwie mit Spyware infiziert wurden. Kaspersky entdeckte Anomalien durch Verkehrsüberwachung des internen Netzwerks, der Angriff wurde später als Triangulation bezeichnet.

Kaspersky verfolgt weiterhin Triangulationsangriffe. Nach Recherchen haben Kaspersky-Forscher eine Methode entdeckt, mit der sich schnell erkennen lässt, ob einem iPhone Spyware implantiert ist.

Wenn Sie in der Vergangenheit feststellen wollten, ob Malware implantiert wurde, mussten Sie das gesamte iPhone sichern und dann anhand der Sicherungsdaten prüfen, ob Auffälligkeiten vorliegen. Jetzt hat Kaspersky eine leichte Erkennungsmethode entdeckt: iShutdown.

Shutdown.log ist eine Protokolldatei. Kaspersky fand einige Ähnlichkeiten, nachdem er die Pegasus-Spyware des israelischen Spyware-Entwicklers NSO Group, die Reign-Spyware des israelischen Spyware-Entwicklers QuaDream und die Predator-Spyware des israelischen Spyware-Entwicklers Intellexa untersucht hatte.

Gemeinsam ist ihnen, dass sie einige Spuren im Neustartprotokoll des Geräts hinterlassen. Einfach ausgedrückt: Da jede Spyware darauf hofft, dauerhaft zu sein, muss sie auch in irgendeiner Weise lange Zeit im Hintergrund bleiben.

Wenn das iPhone neu gestartet wird, behindern diese Spyware-bezogenen Prozesse daher den Neustart des Systems, wodurch die Neustartzeit etwas länger wird und das System außerdem relevante Einträge im Protokoll hinterlässt, um diese Ereignisse aufzuzeichnen.

Die Untersuchung ergab, dass drei israelische kommerzielle Spyware-Entwickler alle ähnliche Dateisystempfade verwendeten: /private/var/db/ und /private/var/tmp/

Kaspersky sagte, dass es einfacher sei, relevante Einträge in den Protokollen zu beobachten, wenn Benutzer ihre iPhones häufig neu starten, sodass in Zukunft nur noch „shutdown.log“ extrahiert werden müsse, um zu analysieren, ob das iPhone mit Spyware infiziert sei.

Es ist zu beachten, dass „shutdown.log“ nicht vom System selbst generiert wird. Das iOS-System zeichnet Protokolle hauptsächlich über sysdiag auf, daher muss Shutdown.log für die tatsächliche Verwendung generiert und exportiert werden. Die exportierte Datei ist etwa 200–400 MB groß und hat das Format .tar.gz. Die erforderlichen Protokolle nach der Dekomprimierung befinden sich in system_logs.logarchiveExtra.

Zu diesem Zweck hat Kaspersky ein Skript mit Python geschrieben, das automatisch nach abnormalen Einträgen in den exportierten Protokollen suchen kann. Wenn ungewöhnliche Einträge gefunden werden, müssen Forscher den entsprechenden Protokollinhalt sorgfältig prüfen, um zu analysieren, ob sie mit Spyware infiziert sind.

Schließlich ist noch nicht klar, wer den Triangulationsangriff gegen Kaspersky initiiert hat. Bei der bei dem Triangulationsangriff verwendeten Spyware handelt es sich um neue Software, die nicht von mehreren israelischen kommerziellen Spyware-Entwicklern entwickelt wurde.

Zusätzlicher Link: https://github.com/KasperskyLab/iShutdown