Кампания, получившая название «Операция триангуляция», распространяет эксплойт с нулевым кликом через iMessage для запуска вредоносного ПО, которое получает полный контроль над устройствами и пользовательскими данными, с целью. Конечной целью является тайное отслеживание пользователя.
Специалисты «Лаборатории Касперского» обнаружили эту APT-кампанию во время мониторинга трафика корпоративной сети Wi-Fi с помощью единой платформы мониторинга и анализа Kaspersky (KUMA). После дальнейшего анализа исследователи обнаружили, что агент угрозы был нацелен на устройства iOS десятков сотрудников компании.
Расследование техники атаки еще продолжается, но специалистам «Лаборатории Касперского» удалось определить общую последовательность заражения. Жертвы получают сообщение через iMessage с вложением, содержащим эксплойт с нулевым кликом. Без взаимодействия со стороны жертвы сообщение запускает уязвимость, которая приводит к выполнению кода для повышения привилегий и предоставления полного контроля над зараженным устройством. После того, как злоумышленник успешно установит свое присутствие на устройстве, сообщение автоматически удаляется.
Не останавливаясь на достигнутом, шпионское ПО незаметно передает на удаленные серверы личную информацию, в том числе аудиозаписи, фотографии из приложений для обмена мгновенными сообщениями, геолокацию и данные об определенных действиях владельца зараженного устройства.
В ходе анализа специалисты «Лаборатории Касперского» подтвердили, что влияние на продукты, технологии и услуги компании не оказывалось, а данные клиентов «Лаборатории Касперского» или критические процессы компании не были скомпрометированы. Злоумышленники могут получить доступ только к данным, хранящимся на зараженных устройствах. «Лаборатория Касперского» первой обнаружила эту атаку, но вряд ли она станет единственной целью.
Игорь Кузнецов, руководитель подразделения EEMEA в Глобальная группа исследований и анализаГлава «Лаборатории Касперского» (GReAT) прокомментировал: «Когда дело доходит до кибербезопасности, даже самые безопасные операционные системы могут быть скомпрометированы. Поскольку злоумышленники APT постоянно совершенствуют свою тактику и ищут новые уязвимые места для использования, компании должны уделять первоочередное внимание безопасности своих систем. Это включает в себя уделение первоочередного внимания обучению и осведомленности сотрудников, а также предоставление им информации об угрозах и новейших инструментов для эффективного выявления угроз и защиты от потенциальных угроз».