På forsommeren 2023 oppdaget Kaspersky et angrep rettet mot iOS-enheter. Denne kampanjen, kalt «Operation Triangulation», bruker en sofistikert metode for å distribuere klikkfrie utnyttelser via iMessage. Målet er å ta full kontroll over brukerens enhet og data.
Ekspertene fra GReAT-cellen (Globalt forsknings- og analyseteam) fra Kaspersky fastslått at hovedmålet til ondsinnede aktører kan være å i det skjulte overvåke målrettede brukere, inkludert Kaspersky-ansatte. På grunn av kompleksiteten til angrepet og den lukkede naturen til iOS-økosystemet, ble det dannet et dedikert team, som brukte mye tid og ressurser på å gjennomføre en detaljert teknisk analyse.
» Vi vet ikke hvem som angrep Kaspersky, i hvert fall ikke offisielt. Kaspersky har ikke skrevet noe om det og det kan være, for å karikere litt, både den amerikanske regjeringen og den russiske regjeringen. Og når jeg sier «amerikansk», sikter jeg mer til angelsaksiske land. », erklærer Fred Raynal, administrerende direktør i Quarkslab.
Det som er overraskende med dette angrepet er dens svært sofistikerte side. » Zero-click-angrep er angrep som koster mye penger å lage. Et angrep som dette er faktisk veldig organisert. Den ble designet av folk som har betydelige teknologiske midler, den er ikke tilgjengelig for alle. Det avhenger nødvendigvis av en regjering », legger Fred Raynal til.
Triangulering: fem utnyttede sårbarheter
Kaspersky-forskere identifiserte et første inngangspunkt gjennom en sårbarhet i skriftbehandlingsbiblioteket. Den andre, en ekstremt kraftig og lett utnyttbar sårbarhet i minnekartleggingskoden, tillot trusselaktører å få tilgang til enhetens fysiske minne. I tillegg utnyttet angripere to andre sårbarheter for å omgå maskinvaresikkerhetsfunksjonene til Apples nyeste prosessor.
Kaspersky fant også at i tillegg til muligheten til å infisere Apple-enheter eksternt via iMessage uten brukerintervensjon, hadde angripere en plattform for å utføre angrep gjennom nettleseren Safari. Dette førte til oppdagelse og reparasjon av en femte sårbarhet.
Når den ondsinnede koden (implantatet) er til stede på telefonen, kan angripere få tilgang til alt innholdet, og kan overvåke hva brukeren gjør: GPS-posisjonen deres, bildene deres, meldingene deres, anropene deres osv.
iOS, en svart boks der spionprogrammer kan gjemme seg
I en serie av fire publikasjoner Publisert på LinkedIn analyserer Fred Raynal grundig operasjonsmåten til operasjon «Triangulering». Forklar grunnen til at du skrev disse innleggene: » Jeg ønsket å vise at angrep på iPhone eksisterer, i motsetning til diskursen til Apple og dets fellesskap som sier at hvis du har en iPhone, vil du ikke bli angrepet. Men de er ikke de samme angriperne, og heller ikke de samme angrepsmodusene, som på Android «.
Eugene Kaspersky, grunnlegger og administrerende direktør i selskapet med samme navn, går i samme retning i en blogginnlegg dato 1Ahem juni 2023″ Vi tror hovedårsaken til denne hendelsen er den lukkede naturen til iOS. Dette operativsystemet er en «svart boks» der spionprogrammer som Triangulation kan skjule seg i årevis. Å oppdage og analysere denne typen trusler er vanskeliggjort av Apples monopol på søkeverktøy, noe som gjør det til et ideelt fristed for spionprogrammer.. »
» Det vil si, som jeg har sagt mer enn en gang, brukere har en illusjon av sikkerhet knyttet til systemets totale opasitet. Eksperter på nettsikkerhet vet ikke hva som egentlig skjer i iOS. Fraværet av nyheter om angrepene indikerer slett ikke umuligheten av selve angrepene – som vi nettopp har sett. », legger grunnleggeren av Kaspersky til.
«Apple har offisielt gitt ut sikkerhetsoppdateringer som fikser alle fire sårbarhetene.» Dag null » oppdaget av Kaspersky-forskere (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990). Disse sårbarhetene påvirker et bredt spekter av Apple-produkter, inkludert iPhone, iPod, iPad, macOS-enheter, Apple TV og Apple Watch.
» Maskinvaresikkerhetsfunksjonene til enheter med nyere Apple-brikker gjør dem betydelig mer motstandsdyktige mot cyberangrep. Men de er ikke immune. Operasjon Triangulering er en påminnelse om å være forsiktig når du håndterer iMessage-vedlegg fra ukjente kilder. Strategiene som brukes i Operation Triangulation gir oss verdifull informasjon og minner oss om at det å finne en balanse mellom personvern og systemtilgjengelighet kan bidra til å forbedre sikkerheten. », avslutter Boris Larin, senior sikkerhetsforsker ved GReAT i Kaspersky.
For å unngå å bli et offer for et målrettet angrep fra en kjent eller ukjent trusselaktør, anbefaler Kaspersky-forskere å implementere følgende tiltak:
- Oppdater operativsystemet, programmene og antivirusprogramvaren regelmessig for å fikse kjente sårbarheter.
- Vær forsiktig med e-poster, meldinger eller anrop som ber om konfidensiell informasjon. Bekreft identiteten til avsenderen før du oppgir personlig informasjon eller klikker på mistenkelige lenker.
- Gi din SOC tilgang til den nyeste trusselintelligensen.
- Opplær cybersikkerhetsteamet ditt slik at de kan håndtere de siste målrettede truslene med opplæring.
- For deteksjon, etterforskning og rask løsning av endepunkthendelser, implementer EDR-løsninger.
«Alkoholentusiast. Analytiker. Profesjonell reiselivsfans. Sertifisert twitter-buff. Writer.»