Nos technologies ont récemment détecté une nouvelle attaque persistante sophistiquée (APT) qui cible les iPhones. Cette attaque fait partie d’une campagne qui vise, entre autres, les employés de Kaspersky. Des cybercriminels anonymes ont exploité une vulnérabilité du noyau iOS pour déployer l’implant d’un logiciel espion nommé TriangleDB dans la mémoire de l’appareil. Nos experts ont pu examiner cet implant en détail.
De quoi l’implant TriangleDB est-il capable ?
L’analyse de cet implant n’a pas été facile puisqu’il ne fonctionne que dans la mémoire du téléphone et ne laisse aucune trace dans le système. De plus, le redémarrage supprime complètement toutes les traces d’attaque et le programme malveillant dispose d’un temporisateur d’autodestruction qui s’active automatiquement 30 jours après l’infection initiale (si les opérateurs ont décidé de ne pas envoyer d’ordre pour prolonger son temps de travail). Certaines des fonctionnalités de base de l’implant sont les suivantes :
- Manipulation des fichiers (création, modification, suppression et exfiltration) ;
- Manipulation des processus d’exécution (obtenir une liste et mettre fin aux processus) ;
- Exfiltration des éléments du trousseau d’iOS, qui contient les certificats, les identités numériques et/ou les identifiants de divers services ;
- Partage des données de géolocalisation, dont les coordonnées, l’altitude, la vitesse et la direction des mouvements.
L’implant peut charger des modules supplémentaires dans la mémoire du téléphone et les exécute. Si vous souhaitez connaître les détails techniques de l’implant, nous vous invitons à lire cet article publié sur le blog de Securelist (destiné aux experts en cybersécurité).
Les attaques APT et les appareils mobiles
Dernièrement, les ordinateurs personnels traditionnels ont été la cible principale des attaques APT. Pourtant, les appareils mobiles modernes sont désormais comparables aux ordinateurs de bureau en termes de performance et de fonctionnalité. Ils sont utilisés pour interagir avec des informations professionnelles sensibles, pour conserver des secrets personnels et professionnels, et pour accéder aux services en lien avec l’activité professionnelle. Ainsi, les groupes d’APT font beaucoup d’efforts pour concevoir des attaques qui s’en prennent aux systèmes d’exploitation mobiles.
Évidemment, Triangulation n’est pas la première attaque qui cible les appareils iOS. Tout le monde se souvient du tristement célèbre (et malheureusement encore actif) logiciel espion commercial Pegasus. On trouve d’autres exemples, dont Insomnia, Predator, Reign, etc. Il n’est pas surprenant que les groupes d’APT s’intéressent aussi au système d’exploitation Android. Les médias ont récemment parlé d’une attaque lancée par le groupe d’APT « Transparent Tribe » qui a utilisé la porte dérobée CapraRAT contre les utilisateurs indiens et pakistanais de ce système. Au cours du troisième trimestre de l’année dernière, nous avons découvert qu’un logiciel espion jusqu’alors inconnu ciblait les utilisateurs qui parlent farsi.
Tout cela montre que, de nos jours, pour protéger une entreprise contre les attaques APT, il est essentiel d’assurer la sécurité du matériel fixe, dont les serveurs et les postes de travail, et des appareils mobiles utilisés dans les processus de travail.
Comment augmenter vos chances face aux attaques APT
Ce serait une erreur de croire que les technologies de protection par défaut proposées par les fabricants des appareils sont suffisantes pour protéger les appareils mobiles. L’incident de l’opération Triangulation a clairement montré que même les technologies d’Apple ne sont pas parfaites. Ainsi, nous conseillons aux entreprises de toujours utiliser un système de protection à plusieurs niveaux, avec notamment les outils appropriés qui contrôlent les appareils mobiles et des systèmes qui surveillent leurs interactions avec le réseau.
La première ligne de défense devrait être une solution de gestion des appareils mobiles. Notre programme Endpoint Security for Mobile offre une gestion centralisée de la sécurité des appareils mobiles via notre console d’administration Kaspersky Security Center. De plus, notre solution protège l’infrastructure contre l’hameçonnage, les menaces Web et les programmes malveillants (seulement pour Android puisque Apple interdit malheureusement les antivirus de tiers).
Cette solution emploie notamment la technologie Cloud ML for Android qui détecte les programmes malveillants liés à Android. Cette technologie fonctionne sur le Cloud KSN et repose sur des méthodes d’apprentissage automatique. Ce modèle, formé à partir de millions d’échantillons de programmes malveillants Android connus, arrive même à détecter avec une très grande précision les programmes malveillants inconnus.
D’autre part, les acteurs de menace utilisent de plus en plus les plateformes mobiles lors d’attaques ciblées sophistiquées. Il est donc logique d’utiliser un système capable de surveiller l’activité du réseau, qu’il s’agisse d’un outil de gestion des événements et des informations de sécurité (SIEM), ou de tout autre outil qui donne à vos experts les moyens de gérer les incidents de cybersécurité complexes avec une détection et une réponse étendues inégalées, comme Kaspersky Anti Targeted Attack Platform.
L’opération Triangulation susmentionnée a été découverte par nos experts alors qu’ils surveillaient un réseau Wi-Fi professionnel à l’aide de notre système SIEM Kaspersky Unified Monitoring and Analysis Platform (KUMA). De plus, nos solutions de Threat Intelligence peuvent fournir aux systèmes de sécurité et aux experts des informations actualisées sur les nouvelles menaces ainsi que sur les techniques, les astuces et les procédures utilisées par les cybercriminels.