해킹당한 경험은 앞서 백신 소프트웨어 개발사인 카스퍼스키(Kaspersky) 직원 일부가 공격을 받았고, 이들의 아이폰에는 어떻게든 스파이웨어가 심어졌다는 것이다. 카스퍼스키는 내부 네트워크의 트래픽 모니터링을 통해 이상 징후를 발견했고, 이후 이 공격을 삼각 측량(triangulation)이라고 불렀다.
Kaspersky는 여전히 삼각 측량 공격을 계속 추적하고 있습니다. Kaspersky 연구진은 연구 끝에 iPhone에 스파이웨어가 심어졌는지 여부를 신속하게 탐지할 수 있는 방법을 발견했습니다.
기존에는 악성코드 삽입 여부를 탐지하려면 아이폰 전체를 백업한 뒤 백업된 데이터를 이용해 이상이 없는지 확인해야 했다. 이제 Kaspersky는 간단한 탐지 방법인 iShutdown을 발견했습니다.
shutdown.log는 로그 파일입니다. Kaspersky는 이스라엘 스파이웨어 개발업체 NSO Group의 Pegasus 스파이웨어, 이스라엘 스파이웨어 개발업체 QuaDream의 Reign 스파이웨어, 이스라엘 스파이웨어 개발업체 Intellexa의 Predator 스파이웨어를 연구한 결과 몇 가지 유사점을 발견했습니다.
공통점은 장치 재시작 로그에 일부 흔적을 남긴다는 것입니다. 간단히 말해서, 모든 스파이웨어는 지속적이기를 바라기 때문에 어떤 방식으로든 오랫동안 백그라운드에 있어야 합니다.
따라서 iPhone이 다시 시작되면 이러한 스파이웨어 관련 프로세스로 인해 시스템 다시 시작 프로세스가 방해되어 다시 시작 시간이 약간 길어지고 시스템도 이러한 이벤트를 기록하기 위해 로그에 관련 항목을 남깁니다.
조사 결과 세 명의 이스라엘 상업용 스파이웨어 개발자가 모두 유사한 파일 시스템 경로(/private/var/db/ 및 /private/var/tmp/)를 사용한 것으로 나타났습니다.
카스퍼스키는 사용자가 아이폰을 자주 재시작하면 로그에서 관련 항목을 관찰하기가 더 쉽기 때문에 앞으로는 shutdown.log만 추출해 아이폰이 스파이웨어에 감염됐는지 분석하면 된다고 말했다.
shutdown.log는 시스템 자체에서 생성되지 않는다는 점을 기억해야 합니다. iOS 시스템은 주로 sysdiag를 통해 로그를 기록하므로 실제 사용하려면 shutdown.log를 생성하고 내보내야 합니다. 내보낸 파일은 .tar.gz 형식으로 약 200~400MB 정도입니다. 압축 해제 후 필요한 로그는 system_logs.logarchiveExtra에 있습니다.
이를 위해 Kaspersky는 내보낸 로그에서 비정상적인 항목을 자동으로 검색할 수 있는 Python을 사용하여 스크립트를 작성했습니다. 비정상적인 항목이 발견되면 연구자는 해당 로그 내용을 주의 깊게 확인하여 스파이웨어에 감염되었는지 분석해야 합니다.
마지막으로, 누가 Kaspersky에 대한 삼각 측량 공격을 시작했는지는 아직 확실하지 않습니다. 삼각측량 공격에 사용된 스파이웨어는 새로운 소프트웨어로 이스라엘의 여러 상용 스파이웨어 개발자가 제작한 것이 아닙니다.
추가 링크: https://github.com/KasperskyLab/iShutdown