La divulgazione di una serie di aggressioni in corso contro gli iPhone da parte della società russa di sicurezza informatica Kaspersky ha portato alla luce l’Operazione Triangolazione. La campagna si avvale di un iOS difetto e iMessage metodi zero-click per installare malware senza richiedere il coinvolgimento dell’utente.
Nel tentativo di contrastare questa minaccia, Kaspersky ha ribattezzato l’operazione “Operazione Triangolazione” e sta invitando chiunque ne sia a conoscenza a farsi avanti e lavorare con loro.
Questo articolo esplora i dettagli della campagna, i suoi risultati e le accuse mosse dall’agenzia di sicurezza e intelligence FSB russa.
Operazione Triangolazione utilizza un difetto di iOS
Un’indagine di Kaspersky indica che iMessage zero clic gli attacchi utilizzati dagli hacker per sfruttare una vulnerabilità di iOS hanno avuto successo iPhone collegati alla loro rete.
Questi metodi consentono la distribuzione di codice dannoso ai dispositivi senza coinvolgere l’utente. Sfruttando questa vulnerabilità, gli aggressori possono scaricare di nascosto più malware dai propri server.
Anche se il messaggio originale e l’allegato lo sono rapidamente cancellatoviene lasciato un payload nascosto con diritti di root, dando agli aggressori la possibilità di raccogliere dati privati, inviare comandi remoti e mantenere la persistenza.
Il trojan viene analizzato a fondo dall’Operazione Triangolazione
Kaspersky usato il Mobile Verifica Toolkit per analizzare il virus in modo molto dettagliato al fine di superare le difficoltà presentate da di iOS architettura chiusa. Dettagli importanti sulla procedura di aggressione e sul funzionamento del virus sono stati scoperti generando backup del filesystem di iPhone compromessi.
Gli indicatori di infezione continuano a esistere nonostante i tentativi del malware di rimuovere le prove della sua presenza. Questi includono l’iniezione di librerie obsolete, modifiche ai file di sistema che impediscono l’installazione di aggiornamenti iOS e modelli di consumo di dati insoliti.
I sintomi dell’infezione sono stati notati per la prima volta in 2019, secondo un’ulteriore analisi dei dati raccolti. In particolare, iOS 15.7 era la versione più recente di iOS essere preso di mira da questo toolkit dannoso, sebbene iOS 16.5 era l’aggiornamento principale più recente al momento della ricerca. È fondamentale tenerlo a mente in seguito iOS gli aggiornamenti potrebbero aver corretto il difetto sfruttato in questi attacchi, riducendo il pericolo per i dispositivi che eseguono le versioni più recenti.
Siti Web collegati a comportamenti dannosi
Kaspersky ha messo a disposizione degli amministratori della sicurezza un elenco di 15 domini collegati all’operazione Operation Triangulation. Gli amministratori sono in grado di individuare qualsiasi sfruttamento sui propri dispositivi esaminando i vecchi registri DNS.
Non appena il malware ha più accesso, scarica un toolkit completo che offre agli aggressori il controllo sull’esecuzione delle istruzioni, la raccolta di dati utente e di sistema e il recupero di ulteriori moduli da un server di comando e controllo (C2) .
È importante notare la mancanza di capacità di persistenza nel toolkit APT impiegato in questi assalti. Pertanto, un rapido riavvio del dispositivo interrompe in modo efficiente l’attività del malware. Le informazioni specifiche sulle capacità del malware sono ancora scarse perché lo studio del payload finale è ancora in corso.
La Russia accusa gli Stati Uniti
In concomitanza con le conclusioni di Kaspersky, le accuse di cooperazione tra Apple e il NSA sono stati realizzati dall’agenzia di intelligence e sicurezza russa FSB. Secondo il FSBApple ha consapevolmente dato il NSA una backdoor, che consente alla NSA di infettare gli iPhone russi con malware.
Affermano inoltre che diversi dispositivi hackerati appartenevano a membri del personale di varie ambasciate e membri del governo russo. IL FSB Tuttavia, non ha offerto alcun dato concreto a sostegno di queste affermazioni.
Lo stato russo in precedenza aveva incoraggiato la sua amministrazione presidenziale e il personale governativo a smettere di usare gli iPhone Apple e a stare lontano dalle apparecchiature di fabbricazione americana. Sono stati confermati gli effetti degli assalti al quartier generale di Kaspersky a Mosca e ai membri dello staff internazionale.
Tuttavia, la società ha chiarito che, poiché non ha accesso alle informazioni investigative tecniche del governo, non è in grado di confermare un collegamento diretto tra i suoi risultati e il rapporto dell’FSB. Tuttavia, il CERT russo ha rilasciato un avviso che lega l’affermazione dell’FSB ai risultati di Kaspersky.
Sei interessato alla sicurezza informatica? Allora dovresti consultare il nostro articolo Il ruolo della sicurezza informatica nella conformità.
Source: Scoperta l’Operazione Triangolazione: la sfida globale della sicurezza informatica