Здравствуйте, сообщество.
Могу предоставить огромное кол-во логов, скриншотов и другой информации.
Обращаюсь за консультацией по расследованию сложного многоэтапного инцидента. Атака выглядит целенаправленной и продолжается более 2-х лет.
1. Краткая суть:
Со стороны моего аккаунта Telegram было отправлено сообщение контакту без моего ведома. В истории чата и списке активных сессий следов не осталось. Этому предшествовали многочисленные уведомления Apple о попытках входа в мой iCloud (коды я не подтверждал). Есть основания подозревать последующую физическую слежку.
2. Хронология и признаки (по этапам MITRE ATT&CK):
3. Уже предпринятые меры:
4. Анализ по MITRE ATT&CK (сводка):
На основе тактик: T1078 (Valid Accounts - iCloud), T1114/T1621 (MFA Interception/Bypass -> SIM Swap), T1649 (Steal or Forge Auth Certificate -> SIM Swap), T1070.004 (Defense Evasion -> Clear Chat History).
5. Конкретные вопросы к сообществу:
1. Какие дополнительные логи или доказательства можно запросить у оператора связи, чтобы подтвердить или опровергнуть факт SIM-свопа, если в стандартной справке этого нет?
2. Есть ли эффективные методы верификации физической слежки после такого цифрового инцидента? На что обращать внимание в первую очередь?
3. Какие неочевидные векторы атаки на iOS/iCloud мог использовать злоумышленник, если гипотеза с SIM-свопом не подтвердится?
4. Посоветуйте, пожалуйста, частных специалистов или DFIR-компании** в РФ, которые профессионально занимаются расследованием подобных целевых инцидентов.
Важно: Все личные данные (номера, имена, точные даты) в этом описании изменены или опущены для анонимности.
Нахожусь уже в недоумении.
Заранее благодарен за любую помощь и советы.
Могу предоставить огромное кол-во логов, скриншотов и другой информации.
Обращаюсь за консультацией по расследованию сложного многоэтапного инцидента. Атака выглядит целенаправленной и продолжается более 2-х лет.
1. Краткая суть:
Со стороны моего аккаунта Telegram было отправлено сообщение контакту без моего ведома. В истории чата и списке активных сессий следов не осталось. Этому предшествовали многочисленные уведомления Apple о попытках входа в мой iCloud (коды я не подтверждал). Есть основания подозревать последующую физическую слежку.
2. Хронология и признаки (по этапам MITRE ATT&CK):
- Reconnaissance / Initial Access Мои данные Apple ID, по-видимому, были скомпрометированы ранее (логин/пароль).
- Credential Access & MFA Bypass: Злоумышленник, имея доступ к Apple ID, [не смог пройти 2FA через мои устройства]. Ключевая гипотеза — для обхода был использован целевой SIM-своп/дубликат SIM. Оператор ([название]) пока утечек отрицает.
- Execution: После предполагаемого перехвата номера был получен SMS-код и осуществлён вход в мой Telegram.
- Defense Evasion: Сообщение было удалено у отправителя (функция «только у меня»), сессия завершена.
- Collection:** После инцидента появились признаки, указывающие на возможное прослушивание или слежку [можно кратко добавить, например: "аномальный разряд батареи, движение предметов"].
3. Уже предпринятые меры:
- Полный сброс iPhone и настройка как нового устройства.
- Смена паролей Apple ID, включение аппаратных ключей.
- В Telegram: смена облачного пароля, включение пароля приложения, проверка сессий.
- Отключение "СМС в iCloud".
- Официальный запрос оператору о действиях с SIM.
- Составлена детальная хронология и проведён анализ по MITRE ATT&CK (см. ниже).
4. Анализ по MITRE ATT&CK (сводка):
На основе тактик: T1078 (Valid Accounts - iCloud), T1114/T1621 (MFA Interception/Bypass -> SIM Swap), T1649 (Steal or Forge Auth Certificate -> SIM Swap), T1070.004 (Defense Evasion -> Clear Chat History).
5. Конкретные вопросы к сообществу:
1. Какие дополнительные логи или доказательства можно запросить у оператора связи, чтобы подтвердить или опровергнуть факт SIM-свопа, если в стандартной справке этого нет?
2. Есть ли эффективные методы верификации физической слежки после такого цифрового инцидента? На что обращать внимание в первую очередь?
3. Какие неочевидные векторы атаки на iOS/iCloud мог использовать злоумышленник, если гипотеза с SIM-свопом не подтвердится?
4. Посоветуйте, пожалуйста, частных специалистов или DFIR-компании** в РФ, которые профессионально занимаются расследованием подобных целевых инцидентов.
Важно: Все личные данные (номера, имена, точные даты) в этом описании изменены или опущены для анонимности.
Нахожусь уже в недоумении.
Заранее благодарен за любую помощь и советы.
