Исследователи «Лаборатории Касперского» обнаружили ранее неизвестное вредоносное ПО, которое атакует устройства с операционной системой iOS. Это целевые атаки в рамках APT-кампании, которая получила название операция «Триангуляция» (Operation Triangulation). Вредонос проникает на устройства жертв с помощью эксплойта, доставляемого в скрытом сообщении iMessage, после этого он запускается и получает полный контроль над устройством и пользовательскими данными. Цель злоумышленников – шпионаж.
Атака была обнаружена экспертами «Лаборатории Касперского» благодаря SIEM-системе Kaspersky UnifiedMonitoring and Analysis Platform (KUMA) в процессе анализа сетевого трафика, полученного из собственной корпоративной сети Wi-Fi. Дальнейшее исследование показало, что злоумышленники атаковали подключённые к ней iOS-устройства десятков сотрудников «Лаборатории Касперского». Расследование инцидента показало, что данные сотрудников компании, а также продукты или какие-либо критические процессы не были затронуты. Расследование инцидента продолжается.
Метод заражения. Специалисты «Лаборатории Касперского» определили, что жертва получала скрытое сообщение iMessage с вложением, содержащим zero-click эксплойт. Это значит, что злоумышленникам для установки вредоносной программы не требовалось, чтобы пользователь совершал какие-либо действия. Сообщение содержало эксплойт, который использовал уязвимость, позволяющую выполнить вредоносный код для повышения привилегий. Таким образом атакующие получали полный контроль над заражённым устройством и доступ ко всем данным. После этого сообщение iMessage, которое привело к заражению, автоматически удалялось.
Цель. Установленное шпионское ПО незаметно передавало информацию с устройства жертвы на удалённые серверы. Злоумышленников интересовали записи с микрофонов, фотографии из мессенджеров, геолокация и данные о других действиях владельца. Многое ещё предстоит изучить, однако вероятно, что атака была нацелена не только на сотрудников «Лаборатории Касперского».
К сожалению, даже самые безопасные операционные системы могут быть скомпрометированы. Поскольку злоумышленники постоянно совершенствуют свои методы атаки и ищут новые уязвимости, компании должны уделять первоочередное внимание безопасности своих систем. Это включает в себя обучение сотрудников, предоставление специалистам компании актуальной информации о методах и инструментах атакующих для эффективного противодействия потенциальным угрозам. Наше исследование операции «Триангуляция» продолжается, и мы ожидаем, что в скором времени сможем поделиться подробностями, так как целями этой шпионской кампании являются не только сотрудники «Лаборатории Касперского».
Игорь Кузнецов, руководитель российского исследовательского центра «Лаборатории Касперского».
Узнать больше об операции «Триангуляция» и о том, как проверить, заражено ли iOS- устройство, можно на сайте .
Чтобы не стать жертвой целевой атаки исследователи «Лаборатории Касперского» рекомендуют:
- для обнаружения, расследования и своевременного устранения инцидентов на уровне конечных точек используйте надёжное защитное решение для бизнеса, такое как Kaspersky Unified Monitoring and Analysis Platform (KUMA);
- обновляйте любое стороннее программное обеспечение оперативно и регулярно;
- предоставьте вашей команде SOC доступ к актуальной информации об угрозах (TI). Kaspersky Threat Intelligence — это единая точка доступа, предоставляющая данные о кибератаках и информацию, собранную «Лабораторией Касперского» более, чем за 25 лет;
- повысьте квалификацию своей команды по кибербезопасности, чтобы противостоять современным целевым угрозам, например, с помощью онлайн-обучения «Лаборатории Касперского», разработанного экспертамиGReAT;
- поскольку многие целевые атаки начинаются с фишинга или других методов социальной инженерии, проводите тренинги по безопасности, например, с помощью Kaspersky Automated Security Awareness Platform.