Bonjour à tous, aujourd’hui nous avons une nouvelle très importante.
Les experts de Kaspersky ont découvert une cyberattaque extrêmement complexe et centrée sur les professionnels, qui utilise les appareils mobiles d’Apple. L’objectif de cette attaque est d’introduire discrètement un logiciel espion dans les iPhones des employés de l’entreprise, qu’ils soient cadres supérieurs ou intermédiaires.
L’attaque est réalisée à l’aide d’un iMessage invisible contenant une pièce jointe malveillante qui, en utilisant un certain nombre de vulnérabilités dans le système d’exploitation iOS, est exécutée sur l’appareil et installe un logiciel espion. Le déploiement du logiciel espion est totalement caché et ne nécessite aucune action de la part de l’utilisateur. En outre, le logiciel espion transmet discrètement des informations privées à des serveurs distants : enregistrements du microphone, photos des messageries instantanées, géo-localisation et données relatives à un certain nombre d’autres activités du propriétaire de l’appareil infecté.
L’attaque est menée aussi discrètement que possible, mais l’infection a été détectée par Kaspersky Unified Monitoring and Analysis Platform (KUMA), une solution SIEM native pour la gestion des informations et des événements ; le système a détecté une anomalie dans notre réseau provenant d’appareils Apple. Une enquête plus approfondie de notre équipe a montré que plusieurs dizaines d’iPhones de nos employés étaient infectés par un nouveau logiciel espion extrêmement sophistiqué sur le plan technologique, que nous avons baptisé « Triangulation ».
En raison de la nature fermée d’iOS, il n’y a pas (et il ne peut pas y avoir) d’outils de système d’exploitation standard pour détecter et supprimer ce logiciel espion sur les smartphones infectés. Pour ce faire, vous devez recourir à des outils externes.
Une indication indirecte de la présence de Triangulation sur l’appareil est la désactivation de la capacité à mettre à jour iOS. Pour une reconnaissance plus précise de l’infection, vous devrez prendre une copie de sauvegarde de l’appareil et la vérifier à l’aide d’un utilitaire spécial. Des recommandations plus détaillées sont présentées dans cet article technique sur Securelist. Nous développons également un utilitaire de détection gratuit que nous mettrons à disposition après l’avoir testé.
En raison des particularités du blocage des mises à jour d’iOS sur les appareils infectés, nous n’avons pas encore trouvé de moyen efficace de supprimer le logiciel espion sans perdre les données de l’utilisateur. Pour ce faire, il faut réinitialiser les iPhones infectés aux paramètres d’usine, installer la dernière version du système d’exploitation et l’ensemble de l’environnement utilisateur en repartant de zéro. Sinon, même si le logiciel espion est supprimé de la mémoire de l’appareil après un redémarrage, Triangulation est toujours en mesure de réinfecter par le biais des vulnérabilités d’une version dépassée d’iOS.
Ce rapport sur l’opération Triangulation n’est que le début de l’enquête sur cette attaque sophistiquée. Nous publions aujourd’hui les premiers résultats de l’analyse, mais il reste encore beaucoup de travail à accomplir. Au fur et à mesure de l’enquête, nous publierons de nouvelles données dans un article dédié sur Securelist et nous ferons le point sur le travail accompli lors du Security Analyst Summit international qui se tiendra en octobre (suivez l’actualité sur le site).
Nous sommes convaincus que Kaspersky n’était pas la cible principale de cette cyberattaque. Les jours à venir apporteront plus de clarté et de détails sur la prolifération mondiale du logiciel espion.
Nous pensons que la raison principale de cet incident est la nature fermée d’iOS. Ce système d’exploitation est une « boîte noire » dans laquelle des logiciels espions comme Triangulation peuvent se cacher pendant des années. La détection et l’analyse de telles menaces sont rendues plus difficiles par le monopole d’Apple sur les outils de recherche, ce qui en fait le refuge idéal pour les logiciels espions. En d’autres termes, comme je l’ai dit plus d’une fois, les utilisateurs ont l’illusion d’une sécurité associée à l’opacité totale du système. Les experts en cybersécurité ne savent pas ce qui se passe réellement dans iOS. L’absence de nouvelles sur les attaques n’indique pas du tout l’impossibilité des attaques elles-mêmes – comme nous venons de le voir.
Je voudrais vous rappeler que ce n’est pas le premier cas d’attaque ciblée contre notre entreprise. Nous sommes conscients que nous travaillons dans un environnement très agressif et nous avons développé des procédures appropriées de réponse aux incidents. Grâce aux mesures prises, l’entreprise fonctionne normalement, les processus commerciaux et les données des utilisateurs ne sont pas affectés et la menace a été neutralisée. Nous continuons à vous protéger, comme toujours.
P.S. Pourquoi « Triangulation » ?
Pour reconnaître les spécifications logicielles et matérielles du système attaqué, Triangulation utilise la technologie Canvas Fingerprinting et dessine un triangle jaune dans la mémoire de l’appareil.