Af Eskil Sørensen, 02/06/23
En hidtil ukendt ’advanced persistant threat’ er rettet mod iOS-enheder som en del af en sofistikeret og langvarig kampagne, der har medført beskyldninger fra hver sin side af Atlanten.
Det er The Hacker News og en række andre medier, der skriver historien på baggrund af en blog-rapport fra Securelist, der er sikkerhedsfirmaet Kasperskys threat intelligence-enhed.
Omfanget af kampagnen er ikke afdækket helt, men det oplyses, at angrebene er stadig i gang og at det går ud over enheder, der kører iOS 15.7. Denne version blev frigivet 12. september 2022. I dag er den nyeste version 16.5.
Metoden bag angrebet er, at målene inficeres med malware ved hjælp af 0-kliks-udnyttelser via iMessage-platformen. Malwaren leveres således i en besked, der udsendes via iMessage. Denne indeholder en vedhæftet fil, der bærer ’udnyttelsen’. Dvs. får man en sådan besked, så er man ramt.
Root-privilegier
Malwaren kører med root-privilegier, hvilket medfører, at der opnås fuldstændig kontrol over enheden og brugerdata. Malwaren er i stand til at høste følsom information og køre kode downloadet som plugin-moduler fra en fjernserver. Den er også konfigureret til at hente yderligere payloads.
Det fremgår, at malwaren overfører information som mikrofonoptagelser, fotos fra iMessage, geolokationsdata og data om en række andre aktiviteter fra den inficerede enhed. Og for at det ikke skal være løgn slettes både den indledende besked og udnyttelsen i den vedhæftede fil for at slette eventuelle spor af infektionen.
Storpolitik
The Hacker News skriver, at parallelt med udsendelse af rapporten fra Kaspersky har den russiske sikkerhedstjeneste FSB udsendt en meddelelse, hvor amerikanske efterretningstjenester beskyldes for at hacke ’adskillige tusinde’ Apple-enheder, der tilhører indenlandske (dvs. russiske, red.) brugere og udenlandske diplomater, via ’hidtil ukendte veje’. Det skulle angiveligt ske som led i en såkaldt rekognosceringsindsats.
FSB skriver ifølge The Hacker News også, at indsatsen har afdækket et ’tæt samarbejde’ mellem Apple og National Security Agency (NSA). Apple har modsat i en erklæring meddelt, at Apple ’aldrig har arbejdet med nogen regering mhp. at indsætte en bagdør i noget Apple-produkt og vil aldrig gøre det.’
Kaspersky beskriver aktiviteten, som kaldes Operation Triangulation som et ’ekstremt komplekst, professionelt målrettet cyberangreb’. Den reelle eksponering af spionkampagnen er endnu ikke fastslået.
Links:
https://securelist.com/operation-triangulation/109842/
https://securelist.com/trng-2023/
https://www.bleepingcomputer.com/news/security/russia-says-us-hacked-thousands-of-iphones-in-ios-zero-click-attacks/
https://therecord.media/russia-accusses-us-of-hacking-apple-devices-to-spy-on-diplomats
https://thehackernews.com/2023/06/new-zero-click-hack-targets-ios-users.html
https://cyberscoop.com/russian-apple-nsa-iphone-spying/
https://www.itnews.com.au/news/russia-says-us-hacked-thousands-of-iphones-in-spy-plot-596486
https://www.securityweek.com/russia-blames-us-intelligence-for-ios-zero-click-attacks/
https://www.theregister.com/2023/06/01/fsb_apple_nsa_spyware_kaspersky/
https://www.reuters.com/technology/russias-fsb-says-us-nsa-penetrated-thousands-apple-phones-spy-plot-2023-06-01/
https://www.bankinfosecurity.com/kaspersky-discloses-apple-zero-click-malware-a-22214
https://securityaffairs.com/146939/apt/operation-triangulation-ios-devic...