Apple предупредила о компрометации вашего устройства? Вот 3 шага, которые нужно сделать немедленно

Введение

Специалисты департамента комплексного реагирования на киберугрозы Positive Technologies (PT ESC IR) в последнее время наблюдают увеличение числа уведомлений от компании Apple о компрометации мобильных устройств. Подобная схема приводит к получению полного контроля над устройством жертвы, включая доступ к звонкам, сообщениям, данным приложений, а также возможности осуществления скрытой записи аудио и видео.

При этом сами уведомления содержат минимальное количество технических деталей. Некорректные действия со стороны пользователя (например, перезагрузка устройства или установка обновлений) могут привести к утрате критически важных цифровых следов, необходимых для последующего анализа.

Этот материал подготовлен, чтобы помочь пользователям:

• корректно оценить подлинность полученного уведомления;
• минимизировать риски потери данных для исследования;
• понять, какие шаги необходимо предпринять сразу после подтверждения угрозы.

Проверьте подлинность данного уведомления

Если вам поступила информация о том, что ваше мобильное устройство – iPhone
или iPad – скомпрометировано, важно убедиться, что это не фишинговое сообщение.

При компрометации устройства компания Apple уведомляет пользователя одновременно тремя способами:

• уведомление об угрозе отображается в верхней части страницы после авторизации
  с помощью учетной записи Apple на сайте account.apple.com;

  

• приходит уведомление на электронную почту с почтового адреса Apple Threat Notifications (threat-notifications@email.apple.com);
• приходит уведомление в iMessage с адреса threat-notifications@apple.com.

Если уведомление получено только по одному каналу или содержит нетипичные элементы (ошибки, нестандартные ссылки), следует рассматривать его как потенциально мошенническое.

Если информация подтвердилась — что делать?

Компания Apple в уведомлении об угрозах не предоставляет технических подробностей атаки. Поэтому для того, чтобы понять, что произошло с Вашим устройством, крайне важно сохранить неизменность forensic-артефактов.

Если вы убедились, что уведомление действительно от Apple, необходимо исключить любые действия, которые могут повлиять на состояние системы. Не следует перезагружать устройство, устанавливать обновления, сбрасывать настройки или активировать дополнительные режимы защиты. Отдельно обращаем внимание, что включение режима Lockdown Mode приводит к перезапуску устройства. Современные вредоносные инструменты, применяемые для атак на мобильные устройства, часто работают исключительно в оперативной памяти и способны удалять следы своего присутствия. Перезагрузка или обновление операционной системы могут привести к утрате forensic-артефактов, необходимых для последующего анализа.

Поэтому лучшим решением будет обратиться за помощью к экспертам, которые подскажут, как действовать в конкретной ситуации. При наличии такой возможности рекомендуем использовать для этого устройство, не связанное с учетной записью скомпрометированного устройства. Нужно сообщить информацию о всех устройствах, которые осуществляли вход в вашу учетную запись, модели устройств и версии iOS или iPadOs.

Информацию о всех устройствах, привязанных к учетной записи, можно посмотреть, перейдя в Настройки → аккаунт Apple, iCloud и другое (Settings → Apple Account, iCloud and more) – внизу страницы отобразятся все устройства, привязанные к учетной записи.

Информацию о конкретном устройстве можно получить, перейдя в Настройки → Основные → Об этом устройстве (Settings → General → About).

Если нет возможности связаться с экспертом/Вы находитесь без связи

Чтобы последующее исследование вашего устройства принесло наилучший результат, при получении уведомления от Apple незамедлительно извлеките диагностические логи устройства и создайте зашифрованную локальную резервную копию устройства.

Создание и извлечение диагностических логов

Для генерации диагностических логов мобильного устройства необходимо одновременно зажать кнопки питание, громкость+ и громкость- на примерно 1,5 сек.

Короткая вибрация сигнализирует об успешно созданных логах.

Процесс генерации диагностических логов занимает 10-15 минут.

Для просмотра сформированных логов перейдите в Настройки → Конфиденциальность и безопасность → Аналитика и улучшения → Данные Аналитики (Settings → Privacy & Security → Analytics & Improvements → Analytics Data) → найдите файл формата sysdiagnose_<дата>_<время>_<наименование устройства>_<наименование сборки ОС>.tar.gz и отправьте архив эксперту удобным способом.

Очень полезными также будут логи JetSamEvent-<дата>_<время>.ips (аналогично из раздела Данные Аналитики). Откройте логи и отправьте их эксперту удобным способом.

Создание резервной копии

Для создания резервной копии данных можно воспользоваться ПО компании Apple – iTunes (или Finder на MacOS). Дистрибутив с актуальной версией находится на сайте Apple: https://www.apple.com/itunes/

Выберите подходящую версию в зависимости от разрядности операционной системы вашего устройства.

Запустив iTunes (Finder), подключите устройство к ПК с помощью кабеля с функцией передачи данных. Подтвердите запрашиваемые разрешения на сопряжение устройства
и ПК.

Убедитесь, что на накопителе ПК достаточно свободного места для создания резервной копии. Итоговый размер созданной резервной копии примерно равен объему занятой на устройстве памяти. Для просмотра занятого объема данных перейдите в Настройки → Основные → Хранилище iPhone (Settings → General → iPhone Storage).

В iTunes (или в Finder, еcли используете MacOS) перейдите во вкладку
с подключенным устройством и создайте зашифрованную резервную копию.

Для этого задайте пароль (безопасный; предварительно сохраните/запишите его!) – он необходим для расшифровки данных резервной копии.

Прогресс создания резервной копии можно отслеживать в верхней части экрана iTunes (в нижней части экрана в Finder).

По умолчанию резервная копия данных сохраняется в директорию C:\Users\<имя_учетной_записи>\AppData\Roaming\Apple Computer\MobileSync\
Backup (Windows) или ~/Library/Application Support/MobileSync/Backup/ (MacOS).

Главная задача на этом этапе — сохранить цифровые следы в неизменном виде, чтобы эксперты впоследствии могли провести качественное расследование и понять, что именно произошло.

Включите на устройстве режим блокировки (Lockdown mode)

До того момента, пока вы не передали устройство и собранные для исследования данные эксперту, необходимо включить на устройстве режим блокировки (Lockdown Mode).

Обратите внимание, что в режиме блокировки некоторые службы устройства работают в ограниченном режиме. Подробнее о том, что именно ограничивается при включении данного режима можно почитать на сайте Apple.

Для включения режима блокировки перейдите в Настройки → Конфиденциальность и безопасность → Режим блокировки (Settings → Privacy & Security → Lockdown Mode).