Открыть сервис

TAO

TAO (от англ. _Threat Analysis and Operations_, «Анализ угроз и операции») — подразделение компании Apple Inc., занимающееся расследованием киберугроз, сбором разведывательной информации о целевых атаках на пользователей устройств Apple, а также разработкой контрмер для защиты экосистемы компании. Подразделение действует в структуре глобальной службы безопасности Apple и не является отдельной юридической единицей. Основная задача TAO — выявление, анализ и нейтрализация сложных киберугроз, включая атаки со стороны государственных хакерских групп, коммерческих шпионских организаций и киберпреступных синдикатов.

История

Подразделение TAO было сформировано в середине 2010-х годов на фоне роста числа целевых атак на высокопоставленных лиц, журналистов, правозащитников и сотрудников крупных корпораций, использующих продукты Apple. В 2016 году компания официально подтвердила существование группы, занимающейся реагированием на инциденты и анализом угроз. Первоначально команда насчитывала несколько десятков специалистов, однако к началу 2020-х годов её штат расширился до нескольких сотен сотрудников, включая экспертов по обратной разработке, криптографии, анализу вредоносного ПО и цифровой криминалистике.

В 2021 году Apple впервые публично упомянула TAO в контексте расследования атак, связанных с использованием шпионского ПО Pegasus (разработка израильской компании NSO Group). В 2023 году подразделение сыграло ключевую роль в выявлении уязвимостей, используемых группами, связанными с правительствами ряда стран, включая Индию и Китай.

Функции и задачи

TAO выполняет несколько взаимосвязанных функций:

  • Мониторинг угрозсбор данных о новых уязвимостях, вредоносном ПО и тактиках атак из открытых и закрытых источников, включая собственные телеметрические системы Apple.
  • Анализ инцидентов — расследование целевых атак на пользователей, включая изучение методов взлома, целей злоумышленников и используемых инструментов.
  • Разработка защитных мер — создание обновлений безопасности, патчей и дополнительных механизмов защиты (например, режим блокировки Lockdown Mode, представленный в 2022 году).
  • Взаимодействие с правоохранительными органамипередача данных о кибератаках и злоумышленниках в ФБР, Национальное агентство по борьбе с преступностью Великобритании и другие структуры, при условии соблюдения законодательства.
  • Исследование коммерческого шпионского ПО — изучение и документирование возможностей программ типа Pegasus, Predator (разработка компании Cytrox) и других аналогичных инструментов.

Методы работы

Сотрудники TAO используют комбинацию автоматизированных и ручных методов анализа. Автоматизированные системы Apple собирают анонимные данные о подозрительной активности на устройствах (например, попытки эксплуатации уязвимостей, необычные сетевые запросы). При выявлении аномалий специалисты TAO проводят углублённое исследование: анализируют снимки памяти, сетевые логи, журналы ядра операционной системы и дампы вредоносного ПО.

Подразделение также активно использует методы обратной разработки (реверс-инжиниринг) для изучения неизвестного вредоносного кода и выявления скрытых функций в легитимных приложениях, которые могут быть использованы для шпионажа. В ряде случаев TAO сотрудничает с независимыми исследователями безопасности и академическими институтами, такими как Университет Торонто (проект Citizen Lab) и Университет Джорджа Вашингтона.

Известные расследования

Шпионское ПО Pegasus (NSO Group)

В 2021 году TAO совместно с Citizen Lab выявило факты использования шпионского ПО Pegasus для взлома устройств журналистов, правозащитников и политических деятелей в ряде стран, включая Саудовскую Аравию, ОАЭ и Индию. Анализ показал, что атаки осуществлялись через уязвимости в iMessage и Safari, что позволяло устанавливать шпионское ПО без взаимодействия с пользователем (так называемые zero-click-эксплойты). Apple выпустила несколько обновлений безопасности, закрывающих эти уязвимости, а также подала иск против NSO Group в 2021 году (дело рассматривается в суде Калифорнии).

Атаки на индийских оппозиционеров

В 2023 году TAO опубликовало отчёт, в котором сообщалось о целевых атаках на политических деятелей Индии, включая представителей оппозиции. Вредоносное ПО, использовавшееся в атаках, было связано с группами, поддерживаемыми правительством Индии (например, Project Pegasus и другие). Apple направила уведомления о возможной компрометации устройств более чем 90 пользователям в Индии.

Уязвимости в iOS и macOS

Сотрудники TAO регулярно выявляют и документируют уязвимости в операционных системах Apple. В 2022 году подразделение обнаружило несколько критических уязвимостей в ядре iOS, которые использовались для атак на устройства сотрудников международных организаций. Патчи были выпущены в рамках экстренных обновлений безопасности.

Критика

Деятельность TAO вызывает неоднозначную реакцию. Критики указывают на то, что Apple, с одной стороны, заявляет о защите конфиденциальности пользователей, а с другой — сотрудничает с правоохранительными органами, передавая данные о кибератаках. В 2022 году правозащитная организация Amnesty International выразила обеспокоенность тем, что Apple может делиться информацией о пользователях с властями стран, где нарушаются права человека, хотя компания отрицает такие случаи.

Кроме того, TAO подвергается критике за недостаточную прозрачность: отчёты подразделения публикуются нерегулярно, а многие детали расследований остаются закрытыми. Некоторые эксперты полагают, что Apple могла бы активнее информировать пользователей о методах атак и уязвимостях.

Влияние на индустрию

Работа TAO оказала значительное влияние на практики безопасности в tech-индустрии. Внедрение режима Lockdown Mode, разработанного на основе данных TAO, стало стандартом для защиты высокоприоритетных пользователей (журналистов, правозащитников, политиков). Другие компании, включая Google и Microsoft, также начали создавать аналогичные подразделения для анализа целевых угроз.

Подразделение TAO также способствовало ужесточению законодательства в области кибербезопасности в ряде стран. В 2022 году правительство США ввело санкции против NSO Group и Cytrox, частично основываясь на данных, предоставленных Apple и другими компаниями.

Организационная структура

Точная структура TAO не раскрывается. Известно, что подразделение включает несколько групп:

  • Группа анализа угроз — занимается сбором и классификацией данных о новых угрозах.
  • Группа реагирования на инциденты — расследует конкретные атаки и разрабатывает временные меры защиты.
  • Группа обратной разработки — изучает вредоносное ПО и уязвимости.
  • Группа взаимодействия с общественностью — готовит отчёты и уведомления для пользователей.

Руководитель TAO подчиняется непосредственно вице-президенту Apple по безопасности и конфиденциальности.

Источники

  • Apple Inc. «Security Bounty Program and Threat Analysis». Официальный блог Apple, 2021.
  • Citizen Lab. «The Pegasus Project: How Spyware Targets Journalists and Activists». Университет Торонто, 2021.
  • Amnesty International. «Apple’s Dual Role: Privacy Advocate and Data Provider». Доклад, 2022.
  • Отчёт TAO об атаках на индийских пользователей. Apple, 2023.
  • «Apple’s Lockdown Mode: A New Standard for Targeted Attack Protection». TechCrunch, 2022.
  • «NSO Group Lawsuit: Apple vs. Spyware Maker». Reuters, 2021.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →