Хелпаните ! Возможно Zero Day iOS !

Переводчик Google
E

exh4leee

Новый пользователь
Сообщения
2
Реакции
0
Здравствуйте, сообщество.
Могу предоставить огромное кол-во логов, скриншотов и другой информации.


Обращаюсь за консультацией по расследованию сложного многоэтапного инцидента. Атака выглядит целенаправленной и продолжается более 2-х лет.

1. Краткая суть:
Со стороны моего аккаунта Telegram было отправлено сообщение контакту без моего ведома. В истории чата и списке активных сессий следов не осталось. Этому предшествовали многочисленные уведомления Apple о попытках входа в мой iCloud (коды я не подтверждал). Есть основания подозревать последующую физическую слежку.

2. Хронология и признаки (по этапам MITRE ATT&CK):
  • Reconnaissance / Initial Access Мои данные Apple ID, по-видимому, были скомпрометированы ранее (логин/пароль).
  • Credential Access & MFA Bypass: Злоумышленник, имея доступ к Apple ID, [не смог пройти 2FA через мои устройства]. Ключевая гипотеза — для обхода был использован целевой SIM-своп/дубликат SIM. Оператор ([название]) пока утечек отрицает.
  • Execution: После предполагаемого перехвата номера был получен SMS-код и осуществлён вход в мой Telegram.
  • Defense Evasion: Сообщение было удалено у отправителя (функция «только у меня»), сессия завершена.
  • Collection:** После инцидента появились признаки, указывающие на возможное прослушивание или слежку [можно кратко добавить, например: "аномальный разряд батареи, движение предметов"].

3. Уже предпринятые меры:
  • Полный сброс iPhone и настройка как нового устройства.
  • Смена паролей Apple ID, включение аппаратных ключей.
  • В Telegram: смена облачного пароля, включение пароля приложения, проверка сессий.
  • Отключение "СМС в iCloud".
  • Официальный запрос оператору о действиях с SIM.
  • Составлена детальная хронология и проведён анализ по MITRE ATT&CK (см. ниже).

4. Анализ по MITRE ATT&CK (сводка):
На основе тактик: T1078 (Valid Accounts - iCloud), T1114/T1621 (MFA Interception/Bypass -> SIM Swap), T1649 (Steal or Forge Auth Certificate -> SIM Swap), T1070.004 (Defense Evasion -> Clear Chat History).

5. Конкретные вопросы к сообществу:
1. Какие дополнительные логи или доказательства можно запросить у оператора связи, чтобы подтвердить или опровергнуть факт SIM-свопа, если в стандартной справке этого нет?
2. Есть ли эффективные методы верификации физической слежки после такого цифрового инцидента? На что обращать внимание в первую очередь?
3. Какие неочевидные векторы атаки на iOS/iCloud мог использовать злоумышленник, если гипотеза с SIM-свопом не подтвердится?
4. Посоветуйте, пожалуйста, частных специалистов или DFIR-компании** в РФ, которые профессионально занимаются расследованием подобных целевых инцидентов.

Важно: Все личные данные (номера, имена, точные даты) в этом описании изменены или опущены для анонимности.

Нахожусь уже в недоумении.

Заранее благодарен за любую помощь и советы.
 
Вход в Telegram не обязательно оставляет след в активных сессиях, если:
  • вход был краткоживущим,
  • сессия сразу завершена,
  • использовался Web/TDLib-клиент.

А вот запрос к оператору, самый верный способ выяснить были ли попытки перевыпустить sim. Возможно стоит заказать детальный счет, может, что полезного будет.

exh4leee написал(а):
Этому предшествовали многочисленные уведомления Apple о попытках входа в мой iCloud (коды я не подтверждал).
Нажмите для раскрытия...
это могли быть и боты, которые работают по утечкам, хотя нельзя отбросить возможности бомбинга уведомлений, чтоб скрыть важные.

В TG скрыли свой номер телефона в настройках конфиденциальности?

exh4leee написал(а):
Collection:** После инцидента появились признаки, указывающие на возможное прослушивание или слежку [можно кратко добавить, например: "аномальный разряд батареи, движение предметов"].
Нажмите для раскрытия...

С осторожностью, но это косвенно. В наше время глобальной слежки... без весомой причины следить не будут. А если будут, то обнаружить это будет крайне тяжело... и таких признаков не будет. Тут поможет только долгий процесс анализа перехваченного трафика с телефона (Wireshark — подробное руководство по началу использования)

exh4leee написал(а):
Какие неочевидные векторы атаки на iOS/iCloud мог использовать злоумышленник, если гипотеза с SIM-свопом не подтвердится?
Нажмите для раскрытия...
Приложения с "дополнительной" нагрузкой. Преценденты были.
exh4leee написал(а):
1. Какие дополнительные логи или доказательства можно запросить у оператора связи, чтобы подтвердить или опровергнуть факт SIM-свопа, если в стандартной справке этого нет?
Нажмите для раскрытия...
такого и не будет, сильно уж специфично, и не каждый оператор предоставит эти данные без запроса от органов
 
akok написал(а):
Вход в Telegram не обязательно оставляет след в активных сессиях, если:
  • вход был краткоживущим,
  • сессия сразу завершена,
  • использовался Web/TDLib-клиент.

А вот запрос к оператору, самый верный способ выяснить были ли попытки перевыпустить sim. Возможно стоит заказать детальный счет, может, что полезного будет.
Обращались в РА (Республика Армения) ничего подозрительного не было.

это могли быть и боты, которые работают по утечкам, хотя нельзя отбросить возможности бомбинга уведомлений, чтоб скрыть важные.

В TG скрыли свой номер телефона в настройках конфиденциальности?
Был скрыт полностью, после того, как с моего профиля было отправлено сообщение контакту и контакт мне прислал скриншот этого - мой номер был открыт в скриншоте. (Могу предоставить скриншот).


С осторожностью, но это косвенно. В наше время глобальной слежки... без весомой причины следить не будут. А если будут, то обнаружить это будет крайне тяжело... и таких признаков не будет. Тут поможет только долгий процесс анализа перехваченного трафика с телефона (Wireshark — подробное руководство по началу использования)
Этот тип используя Protonmail отправлял весь мой диалог по телеграмму с другими контактами, отправляли к стати на их почту (Скриншоты могу предоставить).

Приложения с "дополнительной" нагрузкой. Преценденты были.

такого и не будет, сильно уж специфично, и не каждый оператор предоставит эти данные без запроса от органов
Нажмите для раскрытия...

Есть семья (скромная) живущая в г.Ереван, без каких-либо ситуаций и проблем 2 года назад их отправили в каменный век, максимально манипулируя их устройствами. Меняли телефоны, меняли аккаунты, покупали моб. телефоны в соседних странах (Грузия) и попадались на тоже самое. Прослушка и манипуляции с тг. аккаунтом. Писал в тг. - молчат (делал большое кол-во тикетов с подтверждениями - молчат), писал в Apple - отвечают ( мол включайте Lockdown мод, который не помог). И вот люди пошли купили новый телефон, приобрели сим-карту на 3 лицо, создали новый icloud (не используя вай-фай и находясь по дальше от точек вай-фай) позвонили мне и пошло поехало... Трекеры все на телефоне моем выключены, синхронизация с icloud выключена, все пароли изменены и достаточный не плохой hardening сделал при этом не превратив телефон в кирпич, но все же хочется понять, что за атака. При долгом разговоре приходят звонки и после этого сессия в тг нарушена, или же приходит несколько кодов якобы от apple, для авторизации icloud, возможен перехват этих паролей. Проверял устройства (MVT, iShutdown и вообще ничего).

Злоумышленник используя protonmail под почтовым адресом kingevorg@protonmail.com писал на почту с подтверждениями того, что прослушивал и прям 1в1 отправлял это в текстовом формате ... Профиль его заблокирован уже модерацией Proton.
 
Последнее редактирование:
Войдите или зарегистрируйтесь для ответа.

Похожие темы

Сергей11
  • Закрыта
Закрыто ПК возможно заражен майнером
Ответы
2
Просмотры
653
Sandor
Sandor
newswriter
  • Статья Статья
Fortinet устранила критическую уязвимость в FortiSwitch: возможно удалённое изменение пароля администратора
Ответы
0
Просмотры
691
newswriter
newswriter
G
  • Закрыта
Закрыто Ошибка 0xc0000017 после установки обхода на дискорд, возможно чего-то другого
2
Ответы
38
Просмотры
3K
Sandor
Sandor
Назад
Сверху Снизу