La société de sécurité basée à Moscou Kaspersky a été touchée par une cyberattaque avancée qui a utilisé des exploits sans clic pour infecter les iPhones de plusieurs dizaines d’employés avec des logiciels malveillants qui collectent des enregistrements de microphone, des photos, la géolocalisation et d’autres données, ont déclaré des responsables de l’entreprise.
“Nous sommes tout à fait convaincus que Kaspersky n’était pas la cible principale de cette cyberattaque”, a écrit Eugene Kaspersky, fondateur de la société, dans un article publié jeudi. “Les prochains jours apporteront plus de clarté et de détails supplémentaires sur la prolifération mondiale des logiciels espions.”
Selon des responsables du Centre national russe de coordination des incidents informatiques, les attaques faisaient partie d’une campagne plus large de l’Agence de sécurité nationale américaine qui a infecté plusieurs milliers d’iPhone appartenant à des personnes à l’intérieur de missions diplomatiques et d’ambassades en Russie, en particulier de ceux situés dans les pays de l’OTAN. , les pays post-soviétiques, Israël et la Chine. Une alerte distincte du FSB, le service fédéral de sécurité russe, a allégué qu’Apple avait coopéré avec la NSA dans la campagne. Un représentant d’Apple a nié l’affirmation.
Cet exploit APT sans clic s’autodétruira
Le malware, qui est utilisé contre les employés de Kaspersky depuis au moins quatre ans, a été livré dans des textes iMessage qui joignaient un fichier malveillant qui exploitait automatiquement une ou plusieurs vulnérabilités sans que le destinataire n’ait à intervenir. Avec cela, les appareils ont été infectés par ce que les chercheurs de Kaspersky ont décrit comme une “plate-forme APT complète”. APT est l’abréviation de menace persistante avancée et fait référence aux acteurs de la menace disposant de ressources presque illimitées qui ciblent des individus sur de longues périodes. Les APT sont presque toujours soutenues par des États-nations.
Une fois le logiciel malveillant APT installé, le message texte initial qui a déclenché la chaîne d’infection a été supprimé. Dans le post de jeudi, Eugene Kaspersky a écrit :
L’attaque est menée à l’aide d’un iMessage invisible avec une pièce jointe malveillante qui, en utilisant un certain nombre de vulnérabilités du système d’exploitation iOS, est exécuté sur l’appareil et installe un logiciel espion. Le déploiement du logiciel espion est complètement masqué et ne nécessite aucune action de la part de l’utilisateur. De plus, le logiciel espion transmet également discrètement des informations privées à des serveurs distants : enregistrements de microphone, photos de messageries instantanées, géolocalisation et données sur un certain nombre d’autres activités du propriétaire de l’appareil infecté.
L’attaque est menée le plus discrètement possible, cependant, le fait de l’infection a été détecté par Kaspersky Unified Monitoring and Analysis Platform (KUMA), une solution SIEM native pour la gestion des informations et des événements ; le système a détecté une anomalie dans notre réseau provenant d’appareils Apple. Une enquête plus approfondie de notre équipe a montré que plusieurs dizaines d’iPhones de nos employés étaient infectés par un nouveau logiciel espion extrêmement sophistiqué sur le plan technologique que nous avons surnommé “Triangulation”.
L’opération Triangulation tire son nom du fait que le logiciel malveillant utilise une technique connue sous le nom d’empreinte digitale sur toile pour découvrir de quel matériel et logiciel un téléphone est équipé. Au cours de ce processus, le logiciel malveillant “dessine un triangle jaune dans la mémoire de l’appareil”, a déclaré Eugene Kaspersky.
Publicité
Les chercheurs de Kaspersky ont déclaré que les premières traces des infections par triangulation remontaient à 2019 et qu’en juin 2023, des attaques étaient en cours. La version iOS la plus récente à être ciblée avec succès est la 15.7, qui était à jour le mois dernier. Un représentant de Kaspersky a déclaré dans un e-mail qu’il n’était pas clair si l’une des vulnérabilités était de type zero-day, ce qui signifie qu’elles étaient inconnues d’Apple et non corrigées dans iOS au moment où elles ont été exploitées. Il n’est pas clair si Kaspersky a détecté les infections avant le déploiement d’iOS 16 le mois dernier ou si les téléphones Kaspersy ont continué à utiliser l’ancienne version. Un représentant d’Apple a noté qu’il n’y avait aucune indication dans le compte de Kaspersky que l’un des exploits fonctionne sur les versions iOS ultérieures à 15.7.
Dans un e-mail, un représentant de Kaspersky a écrit :
Au cours de la chronologie de l’attaque, les vulnérabilités d’un jour étaient autrefois des vulnérabilités du jour zéro. Bien qu’il n’y ait aucune indication claire que les mêmes vulnérabilités aient été exploitées auparavant, c’est tout à fait possible.
Au moment de la rédaction, nous avons pu identifier l’une des nombreuses vulnérabilités exploitées, qui est très probablement CVE-2022-46690. Cependant, étant donné la sophistication de la campagne de cyberespionnage et la complexité de l’analyse de la plate-forme iOS, d’autres recherches révéleront sûrement plus de détails à ce sujet. Nous informerons la communauté des nouvelles découvertes dès qu’elles seront publiées.
L’ensemble d’outils malveillants est incapable de gagner en persistance, ce qui signifie qu’il ne survit pas aux redémarrages, ont déclaré les chercheurs de Kaspersky. Un représentant de Kaspersky a déclaré dans un e-mail que les victimes recevaient à nouveau des exploits sans clic après le redémarrage. Il est probable que dans les jours ou les semaines à venir, l’entreprise fournira plus de détails techniques sur le malware, les cibles de la campagne et ses origines.
La Russie accuse Apple de collusion avec la NSA
Les messages de Kasperky coïncidaient avec celui du FSB, le Service fédéral de sécurité russe, alléguant qu’il “avait découvert une opération de reconnaissance par les services de renseignement américains menée à l’aide d’appareils mobiles Apple”. Dans le cadre normal de la surveillance de la sécurité, des responsables de l’agence russe ont déclaré a découvert que “plusieurs milliers de téléphones” étaient infectés. Le poste a accusé Apple d’avoir aidé à l’opération présumée de l’Agence de sécurité nationale.
“Ainsi, les informations reçues par les services de renseignement russes témoignent de l’étroite coopération de la société américaine Apple avec la communauté nationale du renseignement, en particulier la NSA américaine, et confirment que la politique déclarée d’assurer la confidentialité des données personnelles des utilisateurs d’Apple appareils n’est pas vrai”, ont écrit les responsables. Ils n’ont pas fourni de détails ou de preuves supplémentaires pour étayer les affirmations.
Publicité
Dans un e-mail, un représentant d’Apple a nié l’allégation, déclarant : “Nous n’avons jamais travaillé avec aucun gouvernement pour insérer une porte dérobée dans un produit Apple et nous ne le ferons jamais.”
Un message publié par le Centre national russe de coordination des incidents informatiques a cependant directement lié l’alerte du FSB à l’attaque de Kaspersky. Un représentant de Kaspersky a écrit dans un e-mail : “Bien que nous n’ayons pas de détails techniques sur ce qui a été rapporté par le FSB jusqu’à présent, le Centre national russe de coordination des incidents informatiques (NCCCI) a déjà déclaré dans son alerte publique que les indicateurs de compromis sont les mêmes.” Un représentant de la NSA a déclaré que l’agence n’avait aucun commentaire sur les allégations. Les représentants d’Apple n’ont pas encore répondu aux e-mails demandant une réponse.
Ce n’est pas la première fois que Kaspersky est compromis avec succès dans une campagne APT. En 2014, la société a découvert que des logiciels malveillants furtifs avaient infecté son réseau pendant des mois avant d’être détectés. Alors que l’attaquant s’est efforcé de dissimuler les origines de l’infection, Kaspersky a déclaré que le malware de cette attaque était une version mise à jour de Duqu, qui a été découverte fin 2011 avec un code directement dérivé de Stuxnet. Des preuves ont suggéré plus tard que Duqu avait été utilisé pour espionner les efforts de l’Iran pour développer des matières nucléaires et garder un œil sur les relations commerciales du pays.
“Nous sommes bien conscients que nous travaillons dans un environnement très agressif et avons développé des procédures de réponse aux incidents appropriées”, a écrit Eugene Kaspersky dans le post de jeudi. “Grâce aux mesures prises, l’entreprise fonctionne normalement, les processus métier et les données des utilisateurs ne sont pas affectés, et la menace a été neutralisée.”