La révélation d’un certain nombre d’attaques en cours contre les iPhones par la société russe de cybersécurité Kaspersky a mis en lumière l’opération Triangulation. La campagne profite d’un iOS défaut et iMessage méthodes sans clic pour installer des logiciels malveillants sans nécessiter l’engagement de l’utilisateur.
Afin de contrer cette menace, Kaspersky a baptisé l’opération “Opération Triangulation” et invite toute personne ayant les connaissances nécessaires à se manifester et à travailler avec eux.
Cet article explore les spécificités de la campagne, ses résultats et les accusations portées par l’agence russe de renseignement et de sécurité du FSB.
L’opération Triangulation utilise une faille iOS
Une enquête de Kaspersky indique que iMessage sans clic les attaques utilisées par les pirates pour tirer parti d’une vulnérabilité iOS ont réussi sur iPhone liés à leur réseau.
Ces méthodes permettent la distribution de code malveillant sur les appareils sans impliquer l’utilisateur. En tirant parti de cette vulnérabilité, les attaquants peuvent télécharger secrètement plus de logiciels malveillants à partir de leurs serveurs.
Même si le message d’origine et la pièce jointe sont rapidement suppriméune charge utile cachée avec des droits root est laissée derrière, donnant aux attaquants la possibilité de collecter des données privées, d’émettre des commandes à distance et de conserver la persistance.
Le cheval de Troie est analysé en profondeur par l’opération Triangulation
Kaspersky utilisé le Mobile Vérification Boîte à outils pour analyser le virus en détail afin de surmonter les difficultés présentées par iOS architecture fermée. Des détails importants sur la procédure d’agression et le fonctionnement du virus ont été découverts en générant des sauvegardes du système de fichiers des iPhones compromis.
Des indicateurs d’infection continuent d’exister malgré les tentatives du logiciel malveillant de supprimer les preuves de sa présence. Ceux-ci incluent l’injection de bibliothèque obsolète, les modifications des fichiers système qui empêchent l’installation des mises à niveau iOS et les modèles de consommation de données inhabituels.
Les premiers symptômes de l’infection ont été observés chez 2019, selon une analyse plus approfondie des données recueillies. Notamment, iOS 15.7 était la version la plus récente de iOS être la cible de cette boîte à outils malveillante, bien que iOS 16.5 était la mise à jour majeure la plus récente au moment de la recherche. Il est crucial de garder à l’esprit que plus tard iOS les mises à niveau ont peut-être corrigé la faille exploitée lors de ces attaques, réduisant ainsi le danger pour les appareils exécutant les versions les plus récentes.
Sites Web liés à des comportements nuisibles
Une liste de 15 domaines liés à l’opération Opération Triangulation a été mise à disposition des administrateurs de sécurité par Kaspersky. Les administrateurs peuvent repérer toute exploitation sur leurs appareils en consultant les anciens journaux DNS.
Dès que le logiciel malveillant a plus d’accès, il télécharge une boîte à outils complète qui permet aux attaquants de contrôler l’exécution des instructions, la collecte de données utilisateur et système et la récupération d’autres modules à partir d’un serveur de commande et de contrôle (C2). .
Il est important de noter le manque de capacités de persistance dans la boîte à outils APT utilisée dans ces agressions. Par conséquent, un redémarrage rapide de l’appareil arrête efficacement l’activité du logiciel malveillant. Les informations spécifiques concernant les capacités du logiciel malveillant sont encore rares car l’étude de la charge utile finale est toujours en cours.
La Russie charge les États-Unis
Parallèlement aux conclusions de Kaspersky, les accusations de coopération entre Apple et le NSA ont été faites par l’agence russe de renseignement et de sécurité du FSB. Selon le FSBApple a sciemment donné le NSA une porte dérobée, permettant à la NSA d’infecter les iPhone russes avec des logiciels malveillants.
Ils affirment en outre que plusieurs appareils piratés appartenaient à des membres du personnel de diverses ambassades et à des membres du gouvernement russe. Le FSB n’a cependant fourni aucune donnée concrète pour étayer ces affirmations.
L’État russe avait précédemment encouragé son administration présidentielle et son personnel gouvernemental à cesser d’utiliser les iPhones d’Apple et à rester à l’écart des équipements fabriqués aux États-Unis. Les effets des agressions sur le siège de Kaspersky à Moscou et sur les membres du personnel international ont été confirmés.
Cependant, la société a clairement indiqué que, parce qu’elle n’a pas accès aux informations techniques d’enquête du gouvernement, elle n’est pas en mesure de confirmer un lien direct entre ses résultats et le rapport du FSB. Cependant, le CERT russe a publié un avertissement qui lie l’affirmation du FSB aux résultats de Kaspersky.
Êtes-vous dans la cybersécurité? Alors vous devriez consulter notre article Le rôle de la cybersécurité dans la conformité.
Source: L’opération Triangulation dévoilée : le défi mondial de la cybersécurité
