jeudi 1 juin 2023
Les experts de Kaspersky ont découvert une cyberattaque ciblée très complexe et professionnelle qui utilise les appareils mobiles d’Apple. Le but de l’attaque est de placer de manière discrète un logiciel espion dans les iPhones des employés de l’entreprise, y compris le personnel de direction. L’attaque est menée à l’aide d’un iMessage invisible contenant une pièce jointe malveillante, qui exploite plusieurs vulnérabilités de l’OS iOS, s’exécute sur un appareil et installe un logiciel espion. Le déploiement du logiciel espion est totalement caché et ne nécessite aucune action de la part de l’utilisateur. Le logiciel espion transmet ensuite discrètement des informations privées aux serveurs distants : enregistrements de micro, photos de messageries instantanées, géolocalisation et données sur plusieurs autres activités du propriétaire de l’appareil infecté1.
En raison de la nature fermée d’iOS, il n’y a pas (et ne peut pas y avoir) d’outils standard du système d’exploitation pour détecter et supprimer ce logiciel espion sur les smartphones infectés. Pour cela, des outils externes sont nécessaires1.
Une indication indirecte de la présence de Triangulation (le nom donné au logiciel espion) sur l’appareil est la désactivation de la possibilité de mettre à jour iOS. Pour une reconnaissance plus précise et fiable d’une infection réelle, une copie de sauvegarde de l’appareil doit être réalisée et ensuite vérifiée avec une utilité spéciale1.
En raison de certaines particularités inhérentes au blocage des mises à jour d’iOS sur les appareils infectés, ils n’ont pas encore trouvé un moyen efficace de supprimer le logiciel espion sans perdre les données de l’utilisateur. Cela ne peut être fait qu’en réinitialisant les iPhones infectés aux paramètres d’usine et en installant la dernière version du système d’exploitation et de l’environnement utilisateur à partir de zéro1.
Le rapport sur Triangulation ne représente que le début de l’enquête sur cette attaque sophistiquée. Kaspersky publiera ses résultats définitifs lors du Sommet international des analystes de sécurité en octobre1.
Ce que nous savons jusqu’à présent
Les sauvegardes de dispositifs mobiles contiennent une copie partielle du système de fichiers, incluant certaines données de l’utilisateur et les bases de données de services. Les horodatages des fichiers, dossiers et des enregistrements de la base de données permettent de reconstruire approximativement les événements survenus sur le dispositif. L’utilitaire mvt-ios produit une chronologie ordonnée des événements dans un fichier appelé “timeline.csv”, similaire à une super-chronologie utilisée par les outils numériques conventionnels de la médecine légale.
En utilisant cette chronologie, nous avons pu identifier des artefacts spécifiques qui indiquent le compromis. Cela a permis d’avancer dans la recherche, et de reconstruire la séquence générale d’infection :
L’ensemble d’outils malveillants ne supporte pas la persistance, probablement à cause des limitations de l’OS. Les chronologies de plusieurs dispositifs indiquent qu’ils peuvent être réinfectés après un redémarrage. Les plus anciennes traces d’infection que nous avons découvertes datent de 2019. Au moment de la rédaction en juin 2023, l’attaque est en cours, et la version la plus récente des dispositifs ciblés avec succès est iOS 15.7.
L’analyse de la charge utile finale n’est pas encore terminée. Le code est exécuté avec des privilèges de root, met en œuvre un ensemble de commandes pour collecter les informations du système et de l’utilisateur, et peut exécuter un code arbitraire téléchargé en tant que modules de plugin depuis le serveur C&C.
Kaspersky est convaincu qu’il n’était pas la cible principale de cette cyberattaque. Ils estiment que le principal responsable de cet incident est la nature propriétaire d’iOS, un “boîte noire” où un logiciel espion comme Triangulation peut se cacher pendant des années1.
Cependant, grâce aux mesures prises, les processus commerciaux et les données des utilisateurs n’ont pas été affectés et la menace a été neutralisée1.
Le logiciel espion a été nommé “Triangulation” parce qu’il utilise la technologie Canvas Fingerprinting pour reconnaître les spécifications logicielles et matérielles du système attaqué, et dessine un triangle jaune dans la mémoire de l’appareil1.
Lire l’intégralité de l’article sur :
Les opérateurs d’APT s’intéressent de plus en plus aux appareils mobiles. Nos experts ont étudié un de leurs outils.
L’analyse de cet implant n’a pas été facile puisqu’il ne fonctionne que dans la mémoire du téléphone et ne laisse aucune trace dans le système. De plus, le redémarrage supprime complètement toutes les traces d’attaque et le programme malveillant dispose d’un temporisateur d’autodestruction qui s’active automatiquement 30 jours après l’infection initiale (si les opérateurs ont décidé de ne pas envoyer d’ordre pour prolonger son temps de travail). Certaines des fonctionnalités de base de l’implant sont les suivantes :
L’implant peut charger des modules supplémentaires dans la mémoire du téléphone et les exécute. Si vous souhaitez connaître les détails techniques de l’implant, nous vous invitons à lire cet article publié sur le blog de Securelist (destiné aux experts en cybersécurité).
MAJ 29/06/23
Les experts de Kaspersky ont découvert une cyberattaque ciblée très complexe et professionnelle qui utilise les appareils mobiles d’Apple. Le but de l’attaque est de placer de manière discrète un logiciel espion dans les iPhones des employés de l’entreprise, y compris le personnel de direction. L’attaque est menée à l’aide d’un iMessage invisible contenant une pièce jointe malveillante, qui exploite plusieurs vulnérabilités de l’OS iOS, s’exécute sur un appareil et installe un logiciel espion. Le déploiement du logiciel espion est totalement caché et ne nécessite aucune action de la part de l’utilisateur. Le logiciel espion transmet ensuite discrètement des informations privées aux serveurs distants : enregistrements de micro, photos de messageries instantanées, géolocalisation et données sur plusieurs autres activités du propriétaire de l’appareil infecté1.
En raison de la nature fermée d’iOS, il n’y a pas (et ne peut pas y avoir) d’outils standard du système d’exploitation pour détecter et supprimer ce logiciel espion sur les smartphones infectés. Pour cela, des outils externes sont nécessaires1.
Une indication indirecte de la présence de Triangulation (le nom donné au logiciel espion) sur l’appareil est la désactivation de la possibilité de mettre à jour iOS. Pour une reconnaissance plus précise et fiable d’une infection réelle, une copie de sauvegarde de l’appareil doit être réalisée et ensuite vérifiée avec une utilité spéciale1.
En raison de certaines particularités inhérentes au blocage des mises à jour d’iOS sur les appareils infectés, ils n’ont pas encore trouvé un moyen efficace de supprimer le logiciel espion sans perdre les données de l’utilisateur. Cela ne peut être fait qu’en réinitialisant les iPhones infectés aux paramètres d’usine et en installant la dernière version du système d’exploitation et de l’environnement utilisateur à partir de zéro1.
Le rapport sur Triangulation ne représente que le début de l’enquête sur cette attaque sophistiquée. Kaspersky publiera ses résultats définitifs lors du Sommet international des analystes de sécurité en octobre1.
Ce que nous savons jusqu’à présent
Les sauvegardes de dispositifs mobiles contiennent une copie partielle du système de fichiers, incluant certaines données de l’utilisateur et les bases de données de services. Les horodatages des fichiers, dossiers et des enregistrements de la base de données permettent de reconstruire approximativement les événements survenus sur le dispositif. L’utilitaire mvt-ios produit une chronologie ordonnée des événements dans un fichier appelé “timeline.csv”, similaire à une super-chronologie utilisée par les outils numériques conventionnels de la médecine légale.
En utilisant cette chronologie, nous avons pu identifier des artefacts spécifiques qui indiquent le compromis. Cela a permis d’avancer dans la recherche, et de reconstruire la séquence générale d’infection :
L’ensemble d’outils malveillants ne supporte pas la persistance, probablement à cause des limitations de l’OS. Les chronologies de plusieurs dispositifs indiquent qu’ils peuvent être réinfectés après un redémarrage. Les plus anciennes traces d’infection que nous avons découvertes datent de 2019. Au moment de la rédaction en juin 2023, l’attaque est en cours, et la version la plus récente des dispositifs ciblés avec succès est iOS 15.7.
L’analyse de la charge utile finale n’est pas encore terminée. Le code est exécuté avec des privilèges de root, met en œuvre un ensemble de commandes pour collecter les informations du système et de l’utilisateur, et peut exécuter un code arbitraire téléchargé en tant que modules de plugin depuis le serveur C&C.
Kaspersky est convaincu qu’il n’était pas la cible principale de cette cyberattaque. Ils estiment que le principal responsable de cet incident est la nature propriétaire d’iOS, un “boîte noire” où un logiciel espion comme Triangulation peut se cacher pendant des années1.
Cependant, grâce aux mesures prises, les processus commerciaux et les données des utilisateurs n’ont pas été affectés et la menace a été neutralisée1.
Le logiciel espion a été nommé “Triangulation” parce qu’il utilise la technologie Canvas Fingerprinting pour reconnaître les spécifications logicielles et matérielles du système attaqué, et dessine un triangle jaune dans la mémoire de l’appareil1.
Lire l’intégralité de l’article sur :
Les opérateurs d’APT s’intéressent de plus en plus aux appareils mobiles. Nos experts ont étudié un de leurs outils.
L’analyse de cet implant n’a pas été facile puisqu’il ne fonctionne que dans la mémoire du téléphone et ne laisse aucune trace dans le système. De plus, le redémarrage supprime complètement toutes les traces d’attaque et le programme malveillant dispose d’un temporisateur d’autodestruction qui s’active automatiquement 30 jours après l’infection initiale (si les opérateurs ont décidé de ne pas envoyer d’ordre pour prolonger son temps de travail). Certaines des fonctionnalités de base de l’implant sont les suivantes :
L’implant peut charger des modules supplémentaires dans la mémoire du téléphone et les exécute. Si vous souhaitez connaître les détails techniques de l’implant, nous vous invitons à lire cet article publié sur le blog de Securelist (destiné aux experts en cybersécurité).
MAJ 29/06/23
Les experts de Kaspersky ont découvert une cyberattaque ciblée très complexe et professionnelle qui utilise les appareils mobiles d’Apple. Le but de l’attaque est de placer de manière discrète un logiciel espion dans les iPhones des employés de l’entreprise, y compris le personnel de direction. L’attaque est menée à l’aide d’un iMessage invisible contenant une pièce jointe malveillante, qui exploite plusieurs vulnérabilités de l’OS iOS, s’exécute sur un appareil et installe un logiciel espion. Le déploiement du logiciel espion est totalement caché et ne nécessite aucune action de la part de l’utilisateur. Le logiciel espion transmet ensuite discrètement des informations privées aux serveurs distants : enregistrements de micro, photos de messageries instantanées, géolocalisation et données sur plusieurs autres activités du propriétaire de l’appareil infecté1.
En raison de la nature fermée d’iOS, il n’y a pas (et ne peut pas y avoir) d’outils standard du système d’exploitation pour détecter et supprimer ce logiciel espion sur les smartphones infectés. Pour cela, des outils externes sont nécessaires1.
Une indication indirecte de la présence de Triangulation (le nom donné au logiciel espion) sur l’appareil est la désactivation de la possibilité de mettre à jour iOS. Pour une reconnaissance plus précise et fiable d’une infection réelle, une copie de sauvegarde de l’appareil doit être réalisée et ensuite vérifiée avec une utilité spéciale1.
En raison de certaines particularités inhérentes au blocage des mises à jour d’iOS sur les appareils infectés, ils n’ont pas encore trouvé un moyen efficace de supprimer le logiciel espion sans perdre les données de l’utilisateur. Cela ne peut être fait qu’en réinitialisant les iPhones infectés aux paramètres d’usine et en installant la dernière version du système d’exploitation et de l’environnement utilisateur à partir de zéro1.
Le rapport sur Triangulation ne représente que le début de l’enquête sur cette attaque sophistiquée. Kaspersky publiera ses résultats définitifs lors du Sommet international des analystes de sécurité en octobre1.
Ce que nous savons jusqu’à présent
Les sauvegardes de dispositifs mobiles contiennent une copie partielle du système de fichiers, incluant certaines données de l’utilisateur et les bases de données de services. Les horodatages des fichiers, dossiers et des enregistrements de la base de données permettent de reconstruire approximativement les événements survenus sur le dispositif. L’utilitaire mvt-ios produit une chronologie ordonnée des événements dans un fichier appelé “timeline.csv”, similaire à une super-chronologie utilisée par les outils numériques conventionnels de la médecine légale.
En utilisant cette chronologie, nous avons pu identifier des artefacts spécifiques qui indiquent le compromis. Cela a permis d’avancer dans la recherche, et de reconstruire la séquence générale d’infection :
L’ensemble d’outils malveillants ne supporte pas la persistance, probablement à cause des limitations de l’OS. Les chronologies de plusieurs dispositifs indiquent qu’ils peuvent être réinfectés après un redémarrage. Les plus anciennes traces d’infection que nous avons découvertes datent de 2019. Au moment de la rédaction en juin 2023, l’attaque est en cours, et la version la plus récente des dispositifs ciblés avec succès est iOS 15.7.
L’analyse de la charge utile finale n’est pas encore terminée. Le code est exécuté avec des privilèges de root, met en œuvre un ensemble de commandes pour collecter les informations du système et de l’utilisateur, et peut exécuter un code arbitraire téléchargé en tant que modules de plugin depuis le serveur C&C.
Kaspersky est convaincu qu’il n’était pas la cible principale de cette cyberattaque. Ils estiment que le principal responsable de cet incident est la nature propriétaire d’iOS, un “boîte noire” où un logiciel espion comme Triangulation peut se cacher pendant des années1.
Cependant, grâce aux mesures prises, les processus commerciaux et les données des utilisateurs n’ont pas été affectés et la menace a été neutralisée1.
Le logiciel espion a été nommé “Triangulation” parce qu’il utilise la technologie Canvas Fingerprinting pour reconnaître les spécifications logicielles et matérielles du système attaqué, et dessine un triangle jaune dans la mémoire de l’appareil1.
Lire l’intégralité de l’article sur :
Les opérateurs d’APT s’intéressent de plus en plus aux appareils mobiles. Nos experts ont étudié un de leurs outils.
L’analyse de cet implant n’a pas été facile puisqu’il ne fonctionne que dans la mémoire du téléphone et ne laisse aucune trace dans le système. De plus, le redémarrage supprime complètement toutes les traces d’attaque et le programme malveillant dispose d’un temporisateur d’autodestruction qui s’active automatiquement 30 jours après l’infection initiale (si les opérateurs ont décidé de ne pas envoyer d’ordre pour prolonger son temps de travail). Certaines des fonctionnalités de base de l’implant sont les suivantes :
L’implant peut charger des modules supplémentaires dans la mémoire du téléphone et les exécute. Si vous souhaitez connaître les détails techniques de l’implant, nous vous invitons à lire cet article publié sur le blog de Securelist (destiné aux experts en cybersécurité).
MAJ 29/06/23