Continua após a publicidade
A empresa de segurança Kaspersky, com sede em Moscou, foi atingida por um ataque cibernético avançado que usou explorações sem cliques para infectar os iPhones de várias dezenas de funcionários com malware que coleta gravações de microfone, fotos, geolocalização e outros dados, disseram funcionários da empresa.
“Estamos bastante confiantes de que a Kaspersky não foi o alvo principal desse ataque cibernético”, escreveu Eugene Kaspersky, fundador da empresa, em um comunicado. publicar publicado na quinta-feira. “Os próximos dias trarão mais clareza e mais detalhes sobre a proliferação mundial do spyware.”
De acordo com funcionários do Centro de Coordenação Nacional da Rússia para Incidentes de Computador, os ataques fizeram parte de uma campanha mais ampla da Agência de Segurança Nacional dos EUA que infectou vários milhares de iPhones pertencentes a pessoas dentro de missões diplomáticas e embaixadas na Rússia, especificamente aquelas localizadas em países da OTAN. , nações pós-soviéticas, Israel e China. Um alerta separado do FSB, Serviço Federal de Segurança da Rússia, alegou que a Apple cooperou com a NSA na campanha. Um representante da Apple negou a alegação.
Esta exploração APT sem cliques se autodestruirá
O malware, que está em uso contra funcionários da Kaspersky há pelo menos quatro anos, foi entregue em mensagens de texto do iMessage que anexavam um arquivo malicioso que explorava automaticamente uma ou mais vulnerabilidades sem exigir que o destinatário tomasse nenhuma ação. Com isso, os aparelhos foram infectados com o que os pesquisadores da Kaspersky descrito como uma “plataforma APT com todos os recursos”. APT é a abreviação de ameaça persistente avançada e refere-se a agentes de ameaças com recursos quase ilimitados que visam indivíduos por longos períodos de tempo. APTs são quase sempre apoiados por estados-nação.
Depois que o malware APT foi instalado, a mensagem de texto inicial que iniciou a cadeia de infecção foi excluída. No post de quinta-feira, Eugene Kaspersky escreveu:
O ataque é realizado por meio de um iMessage invisível com um anexo malicioso, que, usando várias vulnerabilidades no sistema operacional iOS, é executado no dispositivo e instala spyware. A implantação do spyware é totalmente oculta e não requer nenhuma ação do usuário. Além disso, o spyware também transmite silenciosamente informações privadas para servidores remotos: gravações de microfone, fotos de mensagens instantâneas, geolocalização e dados sobre várias outras atividades do proprietário do dispositivo infectado.
O ataque é realizado da forma mais discreta possível, porém, o fato da infecção foi detectado pela Kaspersky Unified Monitoring and Analysis Platform (KUMA), uma solução nativa de SIEM para gerenciamento de informações e eventos; o sistema detectou uma anomalia em nossa rede proveniente de dispositivos Apple. Uma investigação mais aprofundada de nossa equipe mostrou que várias dezenas de iPhones de nossos funcionários foram infectados com um novo spyware extremamente sofisticado tecnologicamente, que apelidamos de ‘Triangulação’.
A Operação Triangulação recebe esse nome porque o malware usa uma técnica conhecida como impressão digital de tela para descobrir com qual hardware e software um telefone está equipado. Durante esse processo, o malware “desenha um triângulo amarelo na memória do dispositivo”, disse Eugene Kaspersky.
Os pesquisadores da Kaspersky disseram que os primeiros vestígios das infecções por triangulação datam de 2019 e, em junho de 2023, os ataques estavam em andamento. A versão mais recente do iOS a ser segmentada com sucesso é a 15.7, que estava em vigor no mês passado. Um representante da Kaspersky disse em um e-mail que não está claro se alguma das vulnerabilidades era zero-day, o que significa que elas eram desconhecidas da Apple e não corrigidas no iOS no momento em que foram exploradas. Não está claro se a Kaspersky detectou as infecções antes do lançamento do iOS 16 no mês passado ou se os telefones Kaspersy continuaram usando a versão mais antiga. Um representante da Apple observou que não há indicação na conta da Kaspersky de que qualquer uma das explorações funcione em versões do iOS posteriores à 15.7.
Em um e-mail, um representante da Kaspersky escreveu:
Durante a linha do tempo do ataque, as vulnerabilidades de um dia já foram vulnerabilidades de dia zero. Embora não haja indicação clara de que as mesmas vulnerabilidades foram exploradas anteriormente, é bem possível.
No momento em que escrevemos, conseguimos identificar uma das muitas vulnerabilidades que foram exploradas, provavelmente a CVE-2022-46690. No entanto, dada a sofisticação da campanha de ciberespionagem e a complexidade da análise da plataforma iOS, novas pesquisas certamente revelarão mais detalhes sobre o assunto. Atualizaremos a comunidade sobre novas descobertas assim que elas surgirem.
O conjunto de ferramentas maliciosas é incapaz de ganhar persistência, o que significa que não sobrevive a reinicializações, disseram os pesquisadores da Kaspersky. Um representante da Kaspersky disse em um e-mail que as vítimas receberam explorações de clique zero novamente após a reinicialização. É provável que nos próximos dias ou semanas a empresa forneça mais detalhes técnicos sobre o malware, os alvos da campanha e suas origens.
Rússia acusa Apple de conluio com a NSA
As postagens da Kasperky coincidiram com uma do FSB, Serviço Federal de Segurança da Rússia, alegando que “descobriu uma operação de reconhecimento dos serviços de inteligência americanos realizada usando dispositivos móveis da Apple. Durante o curso normal do monitoramento de segurança, disseram funcionários da agência russa, eles descobriram que “vários milhares de aparelhos telefônicos” estavam infectados. O post acusou a Apple de auxiliando na suposta operação da Agência de Segurança Nacional.
“Assim, as informações recebidas pelos serviços de inteligência russos testemunham a estreita cooperação da empresa americana Apple com a comunidade de inteligência nacional, em particular a NSA dos EUA, e confirmam que a política declarada de garantir a confidencialidade dos dados pessoais dos usuários da Apple dispositivos não é verdade”, escreveram os funcionários. Eles não forneceram detalhes adicionais ou evidências para apoiar as reivindicações.
Em um e-mail, um representante da Apple negou a alegação, afirmando: “Nunca trabalhamos com nenhum governo para inserir um backdoor em qualquer produto da Apple e nunca o faremos”.
A publicar publicado pelo Centro de Coordenação Nacional Russa para Incidentes de Computador, no entanto, vinculou diretamente o alerta do FSB ao ataque Kaspersky. Um representante da Kaspersky escreveu em um e-mail: “Embora não tenhamos detalhes técnicos sobre o que foi relatado pelo FSB até agora, o Centro de Coordenação Nacional Russo para Incidentes de Computador (NCCCI) já declarou em seu alerta público que os indicadores de compromisso são os mesmos.” Um representante da NSA disse que a agência não tinha comentários sobre as alegações. Os representantes da Apple ainda não responderam aos e-mails solicitando uma resposta.
Esta não é a primeira vez que o Kaspersky foi comprometido com sucesso em uma campanha APT. Em 2014, a empresa descobriu que um malware furtivo havia infectado sua rede por meses antes de ser detectado. Embora o invasor tenha se esforçado para disfarçar as origens da infecção, a Kaspersky disse que o malware nesse ataque era uma versão atualizada do O prefeito, que foi descoberto no final de 2011 com código derivado diretamente do Stuxnet. Evidências sugeridas posteriormente Duqu foi usado para espionar os esforços do Irã para desenvolver material nuclear e manter o controle sobre as relações comerciais do país.
“Estamos bem cientes de que trabalhamos em um ambiente muito agressivo e desenvolvemos procedimentos apropriados de resposta a incidentes”, escreveu Eugene Kaspersky no post de quinta-feira. “Graças às medidas tomadas, a empresa está operando normalmente, os processos de negócios e os dados dos usuários não são afetados e a ameaça foi neutralizada.”
Publicidade