L’azienda di sicurezza Kaspersky, con sede a Mosca, è stata colpita da un attacco informatico avanzato in grado di infettare gli iPhone di decine di dipendenti.
Secondo i responsabili dell’azienda, il malware – che infetta sfruttando gli exploit clickless – colpisce solamente gli iPhone, e può raccogliere registrazioni del microfono, foto, geolocalizzazione e altri dati sensibili.
In un rapporto pubblicato il 1° giugno, Kaspersky ha dichiarato che all’inizio dell’anno ha rilevato attacchi mirati contro un gruppo di iPhone dopo aver analizzato il traffico della rete aziendale. Nello specifico, i ricercatori di Kaspersky hanno scoperto una campagna di attacchi mirati e persistenti, portati avanti da hacker dotati di notevole expertise tecnico e grandi risorse (APT), che ha come obiettivo i dispositivi iOS.
La campagna denominata Operation Triangulation, il cui inizio sembra risalire addirittura al 2019, utilizza gli exploit zero-click per infettare i dispositivi tramite l’applicazione iMessage. Il nome Operation Triangulation deriva dal fatto che il malware utilizza una tecnica nota come canvas fingerprinting per scoprire l’hardware e il software di cui è dotato un telefono. Durante questo processo, il malware “disegna un triangolo giallo nella memoria del dispositivo”.
Una volta infettato l’iPhone, il malware offre ai criminali informatici il controllo completo sul dispositivo e sui dati dell’utente. Eugene Kaspersky, fondatore dell’azienda, ha dichiarato: “Siamo abbastanza sicuri che Kaspersky non sia stato l’obiettivo principale di questo cyberattacco. I prossimi giorni porteranno maggiore chiarezza e ulteriori dettagli sulla proliferazione mondiale dello spyware”.
La prima fase di “Operation Triangulation” prevede l’invio alla vittima di un allegato iMessage dannoso. L’allegato sembra essere un file legittimo, come un PDF o un’immagine. Una volta inviato, il malware viene installato automaticamente: non serve neanche aprire o ispezionare il messaggio.
Il malware utilizza quindi un exploit zero-click per dare agli hacker i privilegi da amministratore sul dispositivo dell’obiettivo. Ciò significa che, una volta inviato il messaggio, l’aggressore può fare tutto ciò che vuole: compreso il furto di dati, l’installazione di altri malware o il controllo totale del dispositivo da remoto.
“L’attacco avviene tramite un iMessage invisibile con un allegato dannoso che, sfruttando una serie di vulnerabilità del sistema operativo iOS, viene eseguito sul dispositivo e installa uno spyware. La distribuzione dello spyware è completamente nascosta e non richiede alcuna azione da parte dell’utente. Inoltre, lo spyware trasmette silenziosamente informazioni private a server remoti: registrazioni del microfono, foto da messaggeria istantanea, geolocalizzazione e dati su una serie di altre attività del proprietario del dispositivo infetto.”
Kaspersky afferma che il malware scoperto non può persistere su un dispositivo una volta riavviato, ma i ricercatori dicono di aver trovato prove di reinfezione in alcuni casi. L’esatta natura delle vulnerabilità utilizzate nella catena di exploit rimane poco chiara, anche se Kaspersky afferma che una delle falle è probabilmente una vecchia vulnerabilità che Apple ha patchato a dicembre.
“A causa delle peculiarità del blocco degli aggiornamenti di iOS sui dispositivi infetti, non abbiamo ancora trovato un modo efficace per rimuovere lo spyware senza perdere i dati dell’utente. Questo può essere fatto solo resettando gli iPhone infetti alle impostazioni di fabbrica, installando l’ultima versione del sistema operativo e l’intero ambiente utente da zero. Anche se lo spyware viene eliminato dalla memoria del dispositivo dopo un riavvio, Triangulation è ancora in grado di reinfettare attraverso le vulnerabilità di una versione obsoleta di iOS”.
Questa serie di attacchi malware, che hanno colpito i dipendenti Kaspersky per almeno quattro anni, sono stati descritti dall’azienda come una “piattaforma APT completa”. APT è l’abbreviazione di “advanced persistent threat”, ovvero minaccia persistente avanzata, e si riferisce ad un’organizzazione di operatori con risorse praticamente illimitate – quasi sempre sostenute dai governi nazionali – che prendono di mira individui specifici per lunghi periodi di tempo.
Riguardo questa serie di attacchi ai danni di Kaspersky, il Servizio Federale di Sicurezza russo (FSB), ha affermato tramite un post di aver “scoperto un’operazione di ricognizione da parte dei servizi segreti americani effettuata utilizzando dispositivi mobili Apple”. Nel corso di un normale monitoraggio della sicurezza, hanno scoperto che “diverse migliaia di apparecchi telefonici” erano stati infettati. Il post accusava Apple di aver contribuito alla presunta operazione della National Security Agency.
“Le informazioni ricevute dai servizi segreti russi testimoniano la stretta collaborazione dell’azienda americana Apple con la comunità dei servizi segreti nazionali, in particolare con la NSA statunitense, e confermano che la politica dichiarata di garantire la riservatezza dei dati personali degli utenti dei dispositivi Apple non è vera”. Detto questo, c’è da dire che la dichiarazione dell’FSB non è stata accompagnata da alcun dettaglio tecnico, né da alcuna prova che Apple vi abbia collaborato.
In risposta a queste pesanti accuse, un rappresentante di Apple ha negato la maliziosa collaborazione, affermando che: “Non abbiamo mai collaborato con nessun governo per inserire una backdoor in un prodotto Apple e mai lo faremo”. Nonostante la risposta di Apple, storia, sono in molti a concordare che l’elevata complessità del malware, suggerisce che, per quanto le affermazioni dell’FSB possano sembrare assurde, ci sono buone ragioni per immaginare che gli hacker che hanno attaccato Kaspersky possano essere legati ad un operazione governativa.
“Siamo ben consapevoli di lavorare in un ambiente molto aggressivo e abbiamo sviluppato adeguate procedure di risposta agli incidenti”, ha scritto Eugene Kaspersky nel post di giovedì: “grazie alle misure adottate, l’azienda sta operando normalmente, i processi aziendali e i dati degli utenti non sono stati colpiti e la minaccia è stata neutralizzata”.
Fonti: Wired
This post was published on 4 Giugno 2023 6:30
Abbiamo recensito Metal: Hellsinger un paio d'anni fa, e già allora ci era sembrato un…
Era il (mica tanto) lontano 2021 quando a Lucca Comics and Games vedevo apparire per…
E' il momento di risparmiare e anche parecchio acquistando tutto quello che si desidera: ecco…
Per il digitale terrestre arriva un cambiamento non di poco conto. Tre nuovi canali stranieri…
Per la prima volta in assoluto tra i santi ci sarà anche un giovane appassionato…
Le musicassette stanno tornando di gran moda, come i vinili, ed esattamente come tutto ciò…