Специалисты по информационной безопасности обнаружили ранее неизвестное вредоносное ПО, которое атакует устройства с операционной системой iOS. Это целевые атаки в рамках APT-кампании, которая получила название операция «Триангуляция» (Operation Triangulation). Вредонос проникает на устройства жертв с помощью эксплойта, доставляемого в скрытом сообщении iMessage, после этого он запускается и получает полный контроль над устройством и пользовательскими данными. Цель злоумышленников – шпионаж.
Атака была обнаружена экспертами в процессе анализа сетевого трафика, полученного из корпоративной сети Wi-Fi. Дальнейшее исследование показало, что злоумышленники атаковали подключённые к ней iOS-устройства . Расследование инцидента показало, что данные сотрудников компании, а также продукты или какие-либо критические процессы не были затронуты. Расследование инцидента продолжается.
Метод заражения
Специалисты определили, что жертва получала скрытое сообщение iMessage с вложением, содержащим zero-click эксплойт. Это значит, что злоумышленникам для установки вредоносной программы не требовалось, чтобы пользователь совершал какие-либо действия. Сообщение содержало эксплойт, который использовал уязвимость, позволяющую выполнить вредоносный код для повышения привилегий. Таким образом атакующие получали полный контроль над заражённым устройством и доступ ко всем данным. После этого сообщение iMessage, которое привело к заражению, автоматически удалялось.
Цель
Установленное шпионское ПО незаметно передавало информацию с устройства жертвы на удалённые серверы. Злоумышленников интересовали записи с микрофонов, фотографии из мессенджеров, геолокация и данные о других действиях владельца. Многое ещё предстоит изучить, однако вероятно, что атака была нацелена не только на сотрудников «Лаборатории Касперского».
«К сожалению, даже самые безопасные операционные системы могут быть скомпрометированы. Поскольку злоумышленники постоянно совершенствуют свои методы атаки и ищут новые уязвимости, компании должны уделять первоочередное внимание безопасности своих систем. Это включает в себя обучение сотрудников, предоставление специалистам компании актуальной информации о методах и инструментах атакующих для эффективного противодействия потенциальным угрозам. Наше исследование операции «Триангуляция» продолжается, и мы ожидаем, что в скором времени сможем поделиться подробностями, так как целями этой шпионской кампании являются не только сотрудники „Лаборатории Касперского"», — заявил Игорь Кузнецов, руководитель российского исследовательского центра «Лаборатории Касперского».
Чтобы не стать жертвой целевой атаки исследователи рекомендуют:
- для обнаружения, расследования и своевременного устранения инцидентов на уровне конечных точек используйте надёжное защитное решение для бизнеса;
- обновляйте любое стороннее программное обеспечение оперативно и регулярно;
- предоставьте вашей команде SOC доступ к актуальной информации об угрозах (TI);
- повысьте квалификацию своей команды по кибербезопасности, чтобы противостоять современным целевым угрозам;
- поскольку многие целевые атаки начинаются с фишинга или других методов социальной инженерии, проводите тренинги по безопасности.