Apple Zero-Days, iMessage utilisé pendant 4 ans, un effort d’espionnage continu

Depuis au moins quatre ans, un acteur de menace persistante avancée (APT) vole secrètement des informations sur des appareils iOS appartenant à un nombre inconnu de victimes, en utilisant un exploit sans clic fourni via iMessage. L’appareil de renseignement suprême de la Russie, le Service fédéral de sécurité de la Fédération de Russie (FSB), allègue que les attentats sont l’œuvre de l’Agence de sécurité nationale (NSA) aux États-Unis et qu’ils ont touché des milliers de diplomates russes et d’autres personnes. Jusqu’à présent, il n’y a aucune preuve pour étayer ces affirmations.

Ce qui peut être confirmé, c’est le fait que des chercheurs de Kaspersky a découvert le logiciel malveillant après avoir repéré une activité suspecte provenant de dizaines de téléphones iOS infectés sur son propre réseau Wi-Fi d’entreprise. L’enquête en cours de la société sur la campagne – qui est toujours active, ont souligné les chercheurs – a montré que le logiciel malveillant transmet discrètement des enregistrements de microphone, des photos de messages instantanés, la géolocalisation de l’utilisateur et d’autres données privées sur le propriétaire à la commande et au contrôle à distance (C2) les serveurs.

Kaspersky a déclaré qu’il était “assez confiant” que la société n’était pas la seule cible de l’opération Triangulation, comme elle a surnommé la campagne. Le fournisseur de sécurité travaille actuellement avec d’autres chercheurs et des équipes nationales d’intervention d’urgence informatique pour comprendre toute l’étendue de l’attaque. — et note que pour l’instant, l’attribution est difficile.

“Nous attendons de plus amples informations de la part de nos collègues des CERT nationaux et de la communauté de la cybersécurité pour comprendre l’exposition réelle de cette campagne d’espionnage”, a déclaré à Dark Reading Igor Kuznetsov, responsable de l’unité EEMEA de l’équipe Kaspersky Global Research and Analysis. “Bien que ce ne soit pas certain, nous pensons que l’attaque ne visait pas spécifiquement Kaspersky — l’entreprise est juste la première à le découvrir.”

Il ajoute : « À en juger par les caractéristiques de la cyberattaque, nous ne sommes pas en mesure de lier cette campagne de cyberespionnage à un acteur menaçant existant.

De plus, “il est très difficile d’attribuer quoi que ce soit à qui que ce soit”, Kuznetsov a déclaré à Reuters en réponse spécifique aux allégations d’espionnage de la Russie par les États-Unis.

Les affirmations de la Russie sur le complot d’espionnage américain

Pour sa part, le Le FSB a déclaré dans un communiqué de presse que le logiciel espion a infecté “plusieurs milliers” d’appareils Apple, ciblant des diplomates israéliens, syriens, chinois et membres de l’OTAN, ainsi que des abonnés russes nationaux. Il poursuit en affirmant sans preuve que les attaques constituent un complot entre Apple et la NSA pour construire une puissante infrastructure de surveillance pour espionner ceux qui ont des liens avec la Russie.

“La collecte de données cachées a été effectuée grâce à des vulnérabilités logicielles dans les téléphones portables fabriqués aux États-Unis”, a déclaré le ministère russe des Affaires étrangères dans son communiqué. “Les services de renseignement américains utilisent des sociétés informatiques depuis des décennies pour collecter à grande échelle des données sur les internautes à leur insu.”

Les parties accusées ont nié les allégations ou refusé de commenter.

“Nous n’avons jamais travaillé avec un gouvernement pour insérer une porte dérobée dans un produit Apple et nous ne le ferons jamais”, a déclaré Apple dans un communiqué à Reuters, qui a d’abord rendu compte des allégations. La NSA et les responsables israéliens ont refusé de commenter, et les représentants chinois, syriens et de l’OTAN n’ont pas été en mesure de commenter dans l’immédiat, selon le média.

Opération Triangulation

Le malware fait partie d’un nombre croissant de personnes qui ciblent les appareils iOS au cours de l’année écoulée. Les analystes ont souligné la présence croissante d’Apple dans les environnements d’entreprise et l’utilisation croissante du langage Go compatible multiplateforme pour le développement de logiciels malveillants comme raisons de cette tendance.

Sur le plan technique, la compréhension de Kaspersky de l’attaque jusqu’à présent est basée sur son analyse des sauvegardes hors ligne des appareils iOS infectés sur son réseau à l’aide de l’open source Boîte à outils de vérification mobile (MVT). Les différents utilitaires de la boîte à outils permettent une analyse médico-légale des appareils iOS et Android pour identifier – entre autres – la présence d’outils de logiciels espions tels que Pegasus sur eux.

Kaspersky a utilisé MVT sur les sauvegardes hors ligne pour reconstruire la séquence d’événements menant de l’infection initiale de l’appareil à la compromission totale de l’appareil. La société a découvert que l’infection initiale commençait généralement lorsque l’appareil iOS cible recevait un iMessage d’une source aléatoire, avec une pièce jointe contenant un exploit sans clic.

Lors de l’atterrissage sur l’appareil, iMessage déclenche automatiquement une vulnérabilité iOS – sans aucune interaction de l’utilisateur – qui entraîne l’exécution de code à distance (RCE) sur l’appareil infecté. Le code malveillant télécharge plusieurs composants malveillants supplémentaires à partir de serveurs C2 distants, dont un qui permet une élévation des privilèges et une prise de contrôle complète de l’appareil.

Kaspersky n’a pas encore terminé son analyse complète de la charge utile finale. Mais il a pu déterminer que le logiciel malveillant s’exécute avec les privilèges root sur les appareils infectés et prend le contrôle total du téléphone et de toutes les données utilisateur qu’il contient. Une fois que le logiciel malveillant prend le contrôle d’un appareil, il supprime automatiquement l’iMessage qui a activé sa présence sur l’appareil.

Compte tenu de la sophistication de la campagne de cyber-espionnage et de la complexité de l’analyse de la plate-forme iOS, il faudra des recherches supplémentaires pour découvrir toutes les vulnérabilités iOS que le malware de la campagne Operation Triangulation peut exploiter, a déclaré Kuznetsov. “Nous informerons la communauté des nouvelles découvertes une fois qu’elles seront publiées”, dit-il. “Pendant la chronologie de l’attaque, les vulnérabilités d’un jour étaient autrefois des vulnérabilités du jour zéro.”

Kuznetsov affirme que les chercheurs de Kaspersky ont jusqu’à présent été en mesure d’identifier au moins une des nombreuses vulnérabilités que le logiciel malveillant semble exploiter. La faille est suivie comme CVE-2022-46690un soi-disant problème d’écriture hors limites qu’Apple a divulgué et corrigé en décembre 2022. Apple a décrit la vulnérabilité critique comme permettant à une application d’exécuter du code arbitraire avec des privilèges au niveau du noyau.

Infections Apple Spyware difficiles à repérer

Kaspersky a découvert le logiciel malveillant alors qu’il surveillait son réseau Wi-Fi pour les appareils mobiles à l’aide de la plate-forme de surveillance et d’analyse unifiée Kaspersky (KUMA) de l’entreprise. On ne sait pas pourquoi la société n’a pas détecté l’activité plus tôt, étant donné que certains des appareils iOS ont été infectés dès 2019.

Kuznetsov dit que les chercheurs découvrent souvent l’activité APT lorsque l’acteur de la menace commet une erreur opérationnelle. Dans d’autres cas, différentes pièces prennent simplement du temps à s’assembler.

“Parfois, nous devons passer du temps à entreprendre une analyse technique appropriée d’une nouvelle menace, en collectant plus d’informations sur son mode opératoire, par exemple”, dit-il. “Dès que nous avons une image claire, nous publions nos conclusions.”

Kaspersky a publié sur son blog des informations détaillées et des indicateurs de compromission que les organisations peuvent utiliser pour détecter et corriger les appareils infectés, ainsi qu’un utilitaire “triangle_check” que les organisations peuvent utiliser pour analyser les sauvegardes et rechercher les infections.