La société russe de cybersécurité Kaspersky affirme que certains iPhones de son réseau ont été piratés à l’aide d’une vulnérabilité iOS qui a installé des logiciels malveillants via des exploits sans clic iMessage.
La livraison du message exploite une vulnérabilité qui conduit à l’exécution de code sans nécessiter aucune interaction de l’utilisateur, entraînant le téléchargement de programmes malveillants supplémentaires à partir du serveur des attaquants.
Par la suite, le message et la pièce jointe sont effacés de l’appareil. Dans le même temps, la charge utile reste en arrière, s’exécutant avec des privilèges root pour collecter des informations système et utilisateur et exécuter des commandes envoyées par les attaquants.
Kaspersky dit que la campagne a commencé en 2019 et rapporte que les attaques sont toujours en cours. La firme de cybersécurité a nommé la campagne « Opération Triangulation » et invite toute personne qui en sait plus à partager des informations.
Analyse du malware
Comme il est impossible d’analyser iOS à partir de l’appareil, Kaspersky a utilisé le Mobile Verification Toolkit pour créer des sauvegardes du système de fichiers des iPhones infectés afin de récupérer des informations sur le processus d’attaque et la fonction du logiciel malveillant.
Alors que le logiciel malveillant tente de supprimer les traces de l’attaque des appareils, il laisse toujours des signes d’infection, comme des modifications de fichiers système qui empêchent l’installation de mises à jour iOS, une utilisation anormale des données et l’injection de bibliothèques obsolètes.
L’analyse a révélé que les premiers signes d’infection se sont produits en 2019 et que la version iOS la plus récente infectée par l’ensemble d’outils malveillants est la 15.7.
Notez que la dernière version majeure d’iOS est la 16.5, qui a peut-être déjà corrigé la vulnérabilité utilisée dans ces attaques de logiciels malveillants.
L’exploit envoyé via iMessage déclenche une vulnérabilité inconnue dans iOS pour effectuer l’exécution de code, en récupérant les étapes suivantes du serveur de l’attaquant, y compris les exploits d’élévation de privilèges.
La société de sécurité a fourni une liste de 15 domaines associés à cette activité malveillante, que les administrateurs de sécurité peuvent utiliser pour vérifier les journaux DNS historiques afin de détecter d’éventuels signes d’exploitation sur leurs appareils.
Après l’élévation des privilèges root, le logiciel malveillant télécharge un ensemble d’outils complet qui exécute des commandes pour collecter des informations système et utilisateur et télécharger des modules supplémentaires à partir du C2.
Kaspersky note que l’ensemble d’outils APT déposé sur l’appareil n’a aucun mécanisme de persistance, donc un redémarrage l’arrêterait efficacement.
À l’heure actuelle, seuls quelques détails sur les fonctions du logiciel malveillant ont été rendus publics, car l’analyse de la charge utile finale est toujours en cours.
La Russie accuse la NSA d’attentats
Dans une déclaration coïncidant avec le rapport de Kaspersky, l’agence russe de renseignement et de sécurité du FSB affirme qu’Apple a délibérément fourni à la NSA une porte dérobée qu’elle peut utiliser pour infecter les iPhones du pays avec des logiciels espions.
Le FSB affirme avoir découvert des infections par des logiciels malveillants sur des milliers d’iPhone Apple appartenant à des responsables du gouvernement russe et à des employés des ambassades d’Israël, de Chine et de plusieurs pays membres de l’OTAN en Russie.
Malgré la gravité des allégations, le FSB n’a fourni aucune preuve de ses affirmations.
L’État russe a précédemment recommandé à tous les employés et membres de l’administration présidentielle de cesser d’utiliser les iPhones d’Apple et, si possible, d’abandonner complètement la technologie fabriquée aux États-Unis.
Kaspersky a confirmé à Breachtrace que l’attaque avait touché son siège social à Moscou et des employés dans d’autres pays. Pourtant, la société a déclaré qu’elle n’était pas en mesure de vérifier un lien entre ses conclusions et le rapport du FSB, car elle ne dispose pas des détails techniques de l’enquête du gouvernement.
Cependant, le CERT russe a publié une alerte liant la déclaration du FSB au rapport de Kaspersky.
Breachtrace a contacté Apple pour demander un commentaire sur les conclusions de Kaspersky et les allégations du FSB,
Un porte-parole d’Apple a envoyé à Breachtrace le commentaire suivant :
Nous n’avons jamais travaillé avec un gouvernement pour insérer une porte dérobée dans un produit Apple et nous ne le ferons jamais.