Кампания получила название «Операция Триангуляция»
Исследователи «Лаборатории Касперского» обнаружили ранее неизвестное вредоносное ПО, которое атакует устройства с операционной системой iOS. Это целевые атаки в рамках APT-кампании, которая получила название «Операция Триангуляция» (Operation Triangulation). Зловред проникает на устройства жертв с помощью эксплойта, доставляемого в скрытом сообщении iMessage, после этого он запускается и получает полный контроль над устройством и пользовательскими данными. Цель злоумышленников — шпионаж.
Атака была обнаружена экспертами «Лаборатории Касперского» благодаря SIEM-системе Kaspersky Unified Monitoring and Analysis Platform (KUMA) в процессе анализа сетевого трафика, полученного из собственной корпоративной сети Wi-Fi. Дальнейшее исследование показало, что злоумышленники атаковали подключённые к ней iOS-устройства десятков сотрудников «Лаборатории Касперского». Расследование инцидента ещё продолжается. Оно показало, что данные сотрудников компании, а также продукты или какие-либо критические процессы не были затронуты.
Метод заражения. Специалисты «Лаборатории Касперского» определили, что жертва получала скрытое сообщение iMessage с вложением, содержащим zero-click эксплойт. Это означает, что злоумышленникам для установки вредоносной программы не требовалось, чтобы пользователь совершал какие-либо действия. Сообщение содержало эксплойт, который использовал уязвимость, позволяющую выполнить вредоносный код для повышения привилегий. Таким образом атакующие получали полный контроль над заражённым устройством и доступ ко всем данным. После этого сообщение iMessage, которое привело к заражению, автоматически удалялось.
Цель. Установленное шпионское ПО незаметно передавало информацию с устройства жертвы на удалённые серверы, злоумышленников интересовали записи с микрофонов, фотографии из мессенджеров, геолокация и данные о других действиях владельца. Многое ещё предстоит изучить, однако вероятно, что атака была нацелена не только на сотрудников «Лаборатории Касперского».
«К сожалению, даже самые безопасные операционные системы могут быть скомпрометированы. Поскольку злоумышленники постоянно совершенствуют методы атак и ищут новые уязвимости, компании должны уделять первоочередное внимание безопасности своих систем. Это включает в себя обучение сотрудников, предоставление специалистам компании актуальной информации об методах и инструментах атакующих для эффективного противодействия потенциальным угрозам. Наше исследование „Операции Триангуляция“ продолжается, и мы ожидаем, что в скором времени сможем поделиться подробностями, так как целями этой шпионской кампании являются не только наши сотрудники», — комментирует Игорь Кузнецов, руководитель российского исследовательского центра «Лаборатории Касперского».
Узнать больше об «Операции Триангуляция» и том, как проверить, заражено ли iOS- устройство, можно на сайте https://securelist.ru/operation-triangulation/107470/.
Чтобы минимизировать риски целевых кибератак, эксперты «Лаборатории Касперского» рекомендуют компаниям:
- для обнаружения, расследования и своевременного устранения инцидентов на уровне конечных точек используйте надёжное защитное решение для бизнеса, такое как Kaspersky Unified Monitoring and Analysis Platform (KUMA);
- обновляйте любое стороннее программное обеспечение оперативно и регулярно;
- предоставьте вашей команде SOC доступ к актуальной информации об угрозах (TI). Kaspersky Threat Intelligence — это единая точка доступа, предоставляющая данные о кибератаках и информацию, собранную «Лабораторией Касперского» более чем за 25 лет;
- поскольку многие целевые атаки начинаются с фишинга или других методов социальной инженерии, проводите тренинги по безопасности, например с помощью Kaspersky Automated Security Awareness Platform.