Хакеры атаковали iPhone сотрудников «Лаборатории Касперского»

Глава «Лаборатории Касперского» Евгений Касперский сообщил о целевой кибератаке на менеджмент компании при помощи трояна Triangulation.

Речь идёт об атаке техники Apple, принадлежащей сотрудникам компании. По уверениям Касперского, цель атаки — незаметное внедрение шпионского модуля в iPhone сотрудников компании. Это были несколько десятков устройств как топ-менеджмента, так и руководителей среднего звена.

Он подчеркнул, что атака проводится при помощи невидимого iMessage-сообщения с вредоносным вложением, которое, используя ряд уязвимостей в iOS, исполняется на устройстве и устанавливает шпионскую программу абсолютно скрытно от пользователя и без какого-либо его участия.

По его словам, далее шпионская программа так же незаметно передаёт на удалённые серверы приватную информацию. Это записи с микрофона, фотографии из мессенджеров, местоположение и сведения о ряде других активностей владельца заражённого устройства.

Атака проводится максимально скрытно, однако факт заражения был обнаружен нашей системой мониторинга и анализа сетевых событий KUMA. Система выявила в нашей сети аномалию, исходящую с Apple устройств.

В блоге Securelist команда «Лаборатории Касперского» по пунктам расписала картину заражения:

• Заражаемое iOS-устройство получает сообщение iMessage со специальным вложением, содержащим эксплойт.

• Без какого-либо взаимодействия с пользователем, эксплойт из сообщения вызывает выполнение вредоносного кода.

• Указанный код соединяется с сервером управления и приводит к последовательной загрузке нескольких «ступеней» вредоносной программы, включая дополнительные эксплойты для повышения привилегий.

• После успешной отработки всех вредоносных компонентов, загружается конечная вредоносная нагрузка — полноценная APT-платформа.

• Сообщение и вложение с эксплойтом удаляются в процессе заражения.

Поскольку из-за закрытости операционной системы невозможно провести её полноценное исследование на предмет заражения на самом устройстве, был проведён анализ их резервных копий с помощью Mobile Verification Toolkit’s mvt-ios. В результате, были обнаружены следы компрометации устройств ранее неизвестной вредоносной программой.

Евгений Касперский заявил, что из-за особенностей блокировки обновления iOS на заражённых устройствах пока не найдено действенного способа удаления «новой чрезвычайно технологически сложной» шпионской программы без потери пользовательских данных.

Он также уверен, что его компания не была главной целью шпионской операции, поэтому в ближайшие дни будет известна статистика распространения «троянского треугольника»:

Хочется напомнить, что это не первый случай целевой атаки против нашей компании. Мы прекрасно понимаем, что работаем в очень агрессивном окружении, и выработали соответствующие процедуры реагирования. Благодаря принятым мерам компания работает в штатном режиме, бизнес-процессы и пользовательские данные не затронуты, угроза нейтрализована. Мы продолжаем защищать вас, как всегда.

В команде «Лаборатории Касперского» заявили следующее:

Мы назвали эту вредоносную кампанию «Операция Триангуляция» (Operation Triangulation). Всю имеющуюся о ней информацию мы будем постепенно собирать на тематической странице. Также мы призываем всех присоединиться к исследованию и выделили для контактов специальный адрес: triangulation[at]kaspersky.com.

Напомним, ранее ФСБ сообщила о заражении тысяч iPhone в России неизвестным ранее вредоносным ПО для слежки и обвинила Apple в содействии американским спецслужбам, в частности АНБ:

В ходе обеспечения безопасности российской телекоммуникационной
инфраструктуры выявлены аномалии, характерные только для пользователей мобильных телефонов Apple и обусловленные работой ранее неизвестного вредоносного программного обеспечения (ВПО), использующего предусмотренные производителем программные уязвимости.