हैक होने का अनुभव यह था कि एंटी-वायरस सॉफ़्टवेयर डेवलपर कैस्परस्की के कुछ कर्मचारियों पर पहले हमला किया गया था, और उनके आईफ़ोन में किसी तरह स्पाइवेयर प्रत्यारोपित किया गया था। कैस्परस्की ने आंतरिक नेटवर्क की ट्रैफ़िक निगरानी के माध्यम से विसंगतियों की खोज की, और हमले को बाद में ट्राइंगुलेशन कहा गया।
कैस्परस्की अभी भी त्रिकोणीय हमलों पर नज़र रखना जारी रखे हुए है। शोध के बाद, कैस्परस्की शोधकर्ताओं ने एक ऐसी विधि खोजी है जो तुरंत पता लगा सकती है कि आईफोन में स्पाइवेयर प्रत्यारोपित किया गया है या नहीं।
अतीत में, यदि आप यह पता लगाना चाहते हैं कि क्या मैलवेयर प्रत्यारोपित किया गया है, तो आपको पूरे iPhone का बैकअप लेना होगा, और फिर बैकअप डेटा का उपयोग यह जांचने के लिए करना होगा कि क्या कोई असामान्यताएं हैं। अब कैस्परस्की ने एक हल्की पहचान विधि की खोज की है: iShutdown।
शटडाउन.लॉग एक लॉग फ़ाइल है। कैसपर्सकी ने इजरायली स्पाइवेयर डेवलपर एनएसओ ग्रुप के पेगासस स्पाइवेयर, इजरायली स्पाइवेयर डेवलपर क्वाड्रीम के रेन स्पाइवेयर और इजरायली स्पाइवेयर डेवलपर इंटेललेक्सा के प्रीडेटर स्पाइवेयर का अध्ययन करने के बाद कुछ समानताएं पाईं।
उनमें जो समानता है वह यह है कि वे डिवाइस रीस्टार्ट लॉग में कुछ निशान छोड़ देंगे। सीधे शब्दों में कहें तो, चूंकि सभी स्पाइवेयर लगातार बने रहने की उम्मीद करते हैं, इसलिए इसे किसी तरह से लंबे समय तक पृष्ठभूमि में भी रहना चाहिए।
इसलिए, जब iPhone पुनरारंभ होता है, तो ये स्पाइवेयर-संबंधित प्रक्रियाएं सिस्टम पुनरारंभ प्रक्रिया में बाधा उत्पन्न करेंगी, जिससे पुनरारंभ समय थोड़ा लंबा हो जाएगा, और सिस्टम इन घटनाओं को रिकॉर्ड करने के लिए लॉग में प्रासंगिक प्रविष्टियां भी छोड़ देगा।
जांच में पाया गया कि तीन इज़राइली वाणिज्यिक स्पाइवेयर डेवलपर्स ने समान फ़ाइल सिस्टम पथ का उपयोग किया: / निजी / var / db / और / निजी / var / tmp /
कैस्परस्की ने कहा कि जब उपयोगकर्ता बार-बार अपने आईफ़ोन को पुनरारंभ करते हैं, तो लॉग में प्रासंगिक प्रविष्टियों का निरीक्षण करना आसान होता है, इसलिए भविष्य में, यह विश्लेषण करने के लिए कि क्या आईफ़ोन स्पाइवेयर से संक्रमित है, केवल शटडाउन.लॉग को निकालने की आवश्यकता है।
यह याद दिलाना चाहिए कि शटडाउन.लॉग सिस्टम द्वारा स्वयं उत्पन्न नहीं होता है। iOS सिस्टम मुख्य रूप से sysdiag के माध्यम से लॉग रिकॉर्ड करता है, इसलिए शटडाउन.लॉग को वास्तविक उपयोग के लिए जेनरेट और निर्यात करने की आवश्यकता होती है। निर्यात की गई फ़ाइल .tar.gz के प्रारूप में लगभग 200~400MB की है। डीकंप्रेसन के बाद आवश्यक लॉग system_logs.logarchiveExtra में हैं।
इसके लिए, कैस्परस्की ने पायथन का उपयोग करके एक स्क्रिप्ट लिखी, जो निर्यात किए गए लॉग में असामान्य प्रविष्टियों को स्वचालित रूप से खोज सकती है। यदि असामान्य प्रविष्टियाँ पाई जाती हैं, तो शोधकर्ताओं को यह विश्लेषण करने के लिए संबंधित लॉग सामग्री की सावधानीपूर्वक जाँच करने की आवश्यकता है कि क्या वे स्पाइवेयर से संक्रमित हैं।
अंत में, यह अभी तक स्पष्ट नहीं है कि कैस्परस्की के खिलाफ त्रिकोणीय हमले की शुरुआत किसने की। त्रिकोणीय हमले में इस्तेमाल किया गया स्पाइवेयर नया सॉफ्टवेयर है और कई इजरायली वाणिज्यिक स्पाइवेयर डेवलपर्स द्वारा निर्मित नहीं किया गया था।
अतिरिक्त लिंक: https://github.com/KasperskyLab/iShutdown