Surnommée « Opération Triangulation », la campagne diffuse un exploit sans clic via iMessage pour exécuter des logiciels malveillants qui prennent le contrôle total des appareils et des données des utilisateurs, dans le but ultime de suivre secrètement l'utilisateur.
Les experts de Kaspersky ont découvert cette campagne APT en surveillant le trafic du réseau Wi-Fi de l'entreprise à l'aide de Kaspersky Unified Monitoring and Analysis Platform (KUMA). Après une analyse plus approfondie, les chercheurs ont découvert que l'agent de menace avait ciblé les appareils iOS de dizaines d'employés de l'entreprise.
L'enquête sur la technique d'attaque est toujours en cours, mais les chercheurs de Kaspersky ont pu déterminer la séquence générale de l'infection. Les victimes reçoivent un message via iMessage avec une pièce jointe contenant un exploit sans clic. Sans interaction de la victime, le message déclenche une vulnérabilité qui conduit à l'exécution de code pour élever les privilèges et fournir un contrôle total sur l'appareil infecté. Une fois que l'attaquant a réussi à établir sa présence sur l'appareil, le message est automatiquement supprimé.
Ne s'arrêtant pas là, le logiciel espion transmet discrètement des informations personnelles à des serveurs distants, notamment des enregistrements audio, des photos d'applications de messagerie instantanée, la géolocalisation et des données sur certaines activités d'une autre par le propriétaire de l'appareil infecté.
Au cours de l'analyse, les experts de Kaspersky ont confirmé qu'il n'y avait aucun impact sur les produits, technologies et services de l'entreprise, et qu'aucune donnée client Kaspersky ou processus critique de l'entreprise n'était compromis. Les attaquants ne peuvent accéder qu'aux données stockées sur les appareils infectés. Kaspersky a été la première entreprise à détecter cette attaque, mais ce ne sera probablement pas la seule cible.
Igor Kuznetsov, chef de l'unité EEMEA à Équipe mondiale de recherche et d'analyseLe responsable de Kaspersky (GReAT) a commenté : « En matière de cybersécurité, même les systèmes d'exploitation les plus sécurisés peuvent être compromis. Alors que les attaquants APT font constamment évoluer leurs tactiques et recherchent de nouvelles faiblesses à exploiter, les entreprises doivent donner la priorité à la sécurité de leurs systèmes. Cela implique de donner la priorité à l'éducation et à la sensibilisation des employés, tout en leur fournissant des informations sur les menaces et les derniers outils pour identifier et se protéger efficacement contre les menaces potentielles ».