Crédit : Freestocks
L’agence de sécurité fédérale russe, le FSB, a publié une alerte de sécurité affirmant que les services de renseignement américains retardent une campagne d’attaque qui utilise les vulnérabilités d’iOS et met en péril des milliers d’iPhones en Russie, dont ceux de diplomates étrangers.
Dans un rapport séparé, les anti- russes Le fournisseur de virus Kaspersky Laboratory a déclaré que plusieurs lots de ses cadres supérieurs et de sa haute direction avaient été ciblés dans le cadre de l’opération, bien que contrairement au FSB, la société n’ait associé l’attaque à aucun état particulier.
Selon le Selon l’analyse de l’entreprise sur les appareils contaminés, l’opération est en cours depuis au moins 2019 et commence par la réception par les victimes d’un message indétectable via l’application iMessage avec un accessoire qui démarre une chaîne d’exploitation puis se supprime.
« Le déploiement du logiciel espion est complètement caché et ne nécessite aucune action de la part de l’utilisateur », a déclaré le créateur et PDG de Kaspersky Lab, Eugene Kaspersky, dans un article de blog. . » Le logiciel espion envoie ensuite silencieusement des informations personnelles à des serveurs distants : enregistrements du microphone, images de messageries instantanées, géolocalisation et données sur diverses autres activités du propriétaire du gadget infecté. «
Fonctionnement Triangulation
Kaspersky Lab a en fait appelé la campagne de sécurité Opération Triangulation parce que le logiciel malveillant utilise une technique d’empreinte matérielle appelée empreinte digitale sur toile en dessinant un triangle jaune dans la mémoire de l’appareil.
L’examen est en cours, mais ce que les scientifiques ont pu déterminer jusqu’à présent, c’est que la pièce jointe malveillante d’iMessage déclenche une vulnérabilité lorsqu’elle est obtenue par l’appareil, ce qui entraîne l’exécution de code à distance. L’utilisation de traiter avec des appareils exécutant iOS aussi récent que 15.7. Après avoir libéré la charge utile malveillante, il évite les mises à jour futures.
Après l’exploitation initiale, le code d’attaque télécharge des charges utiles supplémentaires à partir d’un serveur de commande et de contrôle qui incluent des exploits supplémentaires d’escalade des avantages pour fournir aux agresseurs des opportunités root sur le gadget. La dernière charge utile est ce que Kaspersky décrit comme une plate-forme APT complète.
« L’analyse de la dernière charge utile n’est pas encore terminée », ont déclaré les scientifiques dans leur rapport technique. » Le code conserve les avantages de la racine, implémente un ensemble de commandes pour collecter les détails du système et de l’utilisateur, et peut exécuter un code approximatif téléchargé sous forme de modules de plug-in à partir du serveur CC. «
Le logiciel malveillant n’est pas implacable sur l’ensemble de l’appareil redémarrages, probablement dus aux contraintes d’iOS, mais offrant la simplicité d’utilisation, qui ne nécessite aucune interaction de l’utilisateur, ce n’est pas un énorme obstacle pour les agresseurs car ils peuvent rapidement réinfecter les appareils. Les appareils mobiles ne sont généralement pas redémarrés.
Indications d’infection de l’iPhone
Réaliser une analyse médico-légale en direct sur iOS est difficile car le système est verrouillé et ne ne permettent pas la mise en place d’outils de sécurité. En tant que tels, les scientifiques ont dû recourir à une analyse hors ligne des sauvegardes de systèmes de fichiers générées avec iTunes. Ces sauvegardes sont chiffrées et doivent être déchiffrées avant d’être analysées avec un outil médico-légal open source qui produira un rapport.
Un signe qu’un gadget a été mis en danger sont des points hors des messages Datausage d’une procédure appelé BackupAgent précédé de messages comparables pour un processus appelé IMTransferAgent. Le binaire BackupAgent ne devrait pas exister dans iOS moderne puisqu’il a en fait été obsolète et remplacé par un binaire appelé BackupAgent2.
D’autres indications sont la modification d’un ou plusieurs fichiers : com.apple.ImageIO.plist, com. apple.locationd.StatusBarIconManager.plist, com.apple.imservice.ids.FaceTime.plist, ainsi que les informations d’utilisation des données des services com.apple.WebKit.WebContent, powerd/com. apple.datausage.diagnostics et lockdownd/com. apple.datausage.security.
Un autre signe moins fiable est la modification d’un site de répertoire de pièces jointes SMS (mais pas de nom de fichier accessoire), suivie de l’utilisation des données de com.apple.WebKit.WebContent, suivie de l’ajustement de com .apple.locationd.StatusBarIconManager.plist dans un court laps de temps.
L’entreprise a également publié une liste de domaines de commande et de contrôle rassemblés pour son analyse médico-légale à partir desquels les différentes charges utiles sont téléchargées ou auxquelles elles se connectent. Bien que ceux-ci puissent changer à l’avenir, les protecteurs pourraient examiner les journaux DNS du réseau pour tout signe de compromis précédent dans leurs réseaux. Kaspersky a également mis en place une énergie en Python qui peut s’exécuter sur une sauvegarde hors ligne de l’iPhone et détecter si l’un de ces signes de compromis existe.
Le FSB blâme les États-Unis et Apple
Dans son alerte publiée via cert.gov.ru, le FSB a déclaré que l’opération de reconnaissance était l’œuvre des services de renseignement américains travaillant en partenariat avec Apple et a affirmé que les vulnérabilités avaient été fournies par le fabricant du logiciel. Bien qu’il n’y ait aucune preuve présentée pour ces allégations, il n’est pas surprenant que la Russie accuse les États-Unis pour les cyberattaques étant donné que les entreprises américaines associent régulièrement les cyberattaques au gouvernement russe.
Le service de sécurité russe a déclaré que les cibles du projet comptait d’innombrables utilisateurs d’iPhone en Russie, ainsi que des gadgets utilisant des cartes SIM étrangères et enregistrés auprès d’objectifs diplomatiques en Russie depuis la Chine, Israël, la Syrie, ainsi que des pays de l’OTAN et du bloc post-soviétique.
Le laboratoire Kaspersky a fait ne pas discuter de l’attribution de l’attaque ou de la source des exploits, mais Eugene Kaspersky était vital pour le système d’exploitation fermé et verrouillé d’Apple qui, selon lui, étouffe l’étude de recherche sur la sécurité. « Nous pensons que la principale raison de cet événement est la nature exclusive d’iOS », a-t-il déclaré.
« Ce système d’exploitation est une « boîte noire » dans laquelle des logiciels espions comme Triangulation peuvent se dissimuler pendant des années. et l’évaluation de ces menaces est rendue encore plus difficile par le monopole d’Apple sur les outils de recherche – ce qui en fait un refuge idéal pour les logiciels espions. En termes simples, comme je l’ai souvent dit, les utilisateurs ont l’impression de sécurité liée à l’opacité totale du système . Ce qui se passe réellement dans iOS est inconnu des experts en cybersécurité, et le manque de nouvelles sur les attaques ne suggère en aucun cas qu’elles soient difficiles – comme nous l’avons en fait simplement vu. «
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
