La société de cybersécurité Kaspersky a publié un outil pour détecter si les iPhones d’Apple et d’autres appareils iOS sont infectés par un nouveau logiciel malveillant de « triangulation ».

Ce malware a été découvert par Kaspersky sur son propre réseau, signalant qu’il a infecté plusieurs appareils iOS dans ses locaux dans le monde entier depuis au moins 2019.

Bien que l’analyse des logiciels malveillants soit toujours en cours, la société de cybersécurité a noté que la campagne de logiciels malveillants « Operation Triangulation » utilise un exploit zero-day inconnu sur iMessage pour effectuer l’exécution de code sans interaction de l’utilisateur et sans privilèges élevés.

Cela permet à l’attaque de télécharger d’autres charges utiles sur l’appareil pour une exécution de commande et une collecte d’informations supplémentaires.

Il convient également de noter que le FSB, le service russe de renseignement et de sécurité, a lié le logiciel malveillant à des infections de hauts fonctionnaires et de diplomates étrangers.

Dans le rapport d’origine, Kaspersky a fourni de nombreux détails sur la vérification manuelle des sauvegardes d’appareils iOS à la recherche d’éventuels indicateurs de compromission par ce logiciel malveillant inconnu à l’aide du Mobile Verification Toolkit (MVT).

Cependant, la société de sécurité a maintenant publié un scanner de triangulation automatisé plus facile à utiliser pour Windows et Linux.

Le scanner iOS Triangle
iOS ne peut être analysé qu’en tant que sauvegarde, car les différents mécanismes de sécurité d’Apple (sandboxing, cryptage des données, signature de code) empêchent l’analyse du système en direct.

Ainsi, les utilisateurs doivent d’abord sauvegarder leurs appareils iOS en suivant ces étapes en fonction de leur système d’exploitation :

Windows:

  • Connectez votre appareil à un ordinateur sur lequel iTunes est installé. Déverrouillez votre appareil et, si nécessaire, confirmez que vous faites confiance à votre ordinateur.
  • Votre appareil devrait maintenant être affiché dans iTunes. Faites un clic droit dessus et appuyez sur « Sauvegarder ».
  • La sauvegarde créée sera enregistrée dans le répertoire %appdata%\Apple Computer\MobileSync\Backup.

macOS:

  1. Connectez votre appareil à l’ordinateur et, si nécessaire, confirmez que vous faites confiance à l’ordinateur.
  2. Votre appareil devrait maintenant être affiché dans le Finder. Sélectionnez-le puis cliquez sur « Créer une sauvegarde ».
  3. La sauvegarde créée sera enregistrée dans le répertoire ~/Bibliothèque/Application Support/MobileSync/Backup/.

Linux:

  1. Installez la bibliothèque « libimobiledevice ».
  2. Connectez votre appareil à l’ordinateur et créez une sauvegarde à l’aide de la commande « idevicebackup2 backup –full ».
  3. Pendant le processus de sauvegarde, entrez le code d’accès de votre appareil comme demandé.

L’étape suivante consiste à utiliser le scanner « triangle_check » de Kaspersky pour analyser les sauvegardes iOS.

Kaspersky a publié le scanner sous forme de versions binaires pour Windows et Linux et un package Python multiplateforme mis à disposition via le PyPI.

Python package:

  1. Obtenez ‘triangle_check’ à partir de PyPI à l’aide de la commande suivante : python -m pip install triangle_check
  2. Alternativement, l’outil peut être créé à partir de GitHub en exécutant :
  3. git clone https://github.com/KasperskyLab/triangle_check
  4. cd triangle_check
  5. python -m construction
  6. python -m pip install dist/triangle_check-1.0-py3-none-any.whl

Après cela, utilisez cette commande pour lancer l’outil : python -m triangle_check chemin vers la sauvegarde créée.

Binaire Windows :

Le binaire Windows est disponible via le référentiel public GitHub de Kaspersky. Pour l’utiliser, suivez ces instructions :

  • Téléchargez l’archive triangle_check_win.zip depuis la page des versions de GitHub et décompressez-la.
  • Lancez l’invite de commande (cmd.exe) ou PowerShell.
  • Changez votre répertoire pour celui avec l’archive décompressée (par exemple, cd %userprofile%\Downloads\triangle_check_win).
  • Lancez triangle_check.exe, en spécifiant le chemin d’accès à la sauvegarde comme argument (par exemple, triangle_check.exe « %appdata%\Apple Computer\MobileSync\Backup\00008101-000824411441001E-20230530-143718 »).

Binaire Linux :

Le binaire Linux est disponible via le référentiel public GitHub de Kaspersky. Pour l’utiliser, suivez ces instructions :

  • Téléchargez l’archive triangle_check_win.zip depuis la page des versions de GitHub et décompressez-la.
  • Lancez le terminal.
  • Changez votre répertoire pour celui avec l’archive décompressée (par exemple, cd ~/Downloads/triangle_check_linux).
  • Autorisez l’exécution de l’utilitaire avec la commande « chmod +x triangle_check ».
  • Lancez l’utilitaire en spécifiant le chemin d’accès à la sauvegarde comme argument (par exemple, ./triangle_check ~/Desktop/my_backup/00008101-000824411441001E-20230530-143718).

Lorsqu’il est lancé et pointé vers le chemin de sauvegarde iOS, l’outil triangle_check génère l’un des résultats d’analyse suivants :

  • DÉTECTÉ : Cela signifie que le logiciel malveillant « Opération Triangulation » a infecté l’appareil sans aucun doute.
  • SUSPICION : Le scanner a trouvé des indicateurs de compromis indiquant une infection probable, mais il n’y a pas suffisamment de preuves pour étayer un résultat concluant.
  • Aucune trace de compromission n’a été identifiée : l’analyseur n’a détecté aucun signe de compromission pour la famille de logiciels malveillants en question.

Notez que les résultats ci-dessus, en particulier les résultats négatifs, peuvent ne pas être entièrement fiables ou traités comme des assurances définitives que l’appareil est propre.

Au fur et à mesure que l’analyse du logiciel malveillant est en cours, des indicateurs supplémentaires de compromis ou même une variante plus récente qui infecte les versions iOS les plus récentes peuvent être découverts ultérieurement.

Une campagne de malware ciblée
En règle générale, les campagnes de distribution de logiciels malveillants axées sur l’espionnage telles que « l’opération Triangulation » ciblent des individus ou des entreprises spécifiques plutôt que la population en général, de sorte que la plupart des personnes utilisant le vérificateur devraient obtenir un résultat propre.

Cependant, l’outil de Kaspersky pourrait être pratique pour les personnes occupant des rôles critiques dans des organisations importantes, les personnes exposées à un risque accru d’espionnage parrainé par l’État et celles travaillant dans des entreprises ou des services qui agissent comme des centres d’information.

Actuellement, l’origine exacte du malware et les orchestrateurs de l’Opération Triangulation restent inconnus ; par conséquent, la portée du ciblage et la victimologie n’ont pas été déterminées.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *