Kaspersky veröffentlicht weitere Details zur Operation Triangulation. Demnach wurden fünf bis dahin unbekannte Zero-Days ausgenutzt, um iOS-Geräte anzugreifen. Die Angreifer hinter der Kampagne hatten sowohl die breite Öffentlichkeit als auch Mitarbeiter von Kaspersky im Visier.
Im Sommer dieses Jahres hat Kaspersky einen APT-Angriff (Advanced Persistent Threat) auf iOS-Geräte entdeckt. Die Kampagne mit dem Namen „Operation Triangulation“ nutzte eine ausgeklügelte Methode, um Zero-Click-Exploits über iMessage zu verbreiten. Dadurch erhielten die Angreifer die vollständige Kontrolle über das Gerät und die darauf befindlichen Daten. Das globale Forschungs- und Analyseteam (GReAT) von Kaspersky geht davon aus, dass das Hauptziel eine verdeckte Überwachung der Nutzer war, von der auch Kaspersky-Mitarbeiter betroffen waren. Aufgrund der Komplexität des Angriffs und der Geschlossenheit des iOS-Ökosystems hat eine spezielle, teamübergreifende Task Force viel Zeit und Ressourcen in eine detaillierte technische Analyse investiert.
Im Zuge der Analyse zeigte sich, dass die Angriffskette fünf Schwachstellen ausnutzte, von denen vier bisher unbekannte Zero-Day-Lücken waren, für die bereits Patches verfügbar sind. Die Schwachstellen wurden von Kaspersky an Apple gemeldet.
Die Experten des Unternehmens identifizierten einen ersten Einstiegspunkt der Angriffe über eine Schwachstelle in einer Schriftverarbeitungsbibliothek. Bei der zweiten Lücke handelt es sich um eine extrem gefährliche und einfach auszunutzende Schwachstelle im Memory-Mapping-Code. Diese ermöglicht den Zugriff auf den physischen Speicher des betroffenen Geräts. Darüber hinaus nutzten die Angreifer zwei weitere Schwachstellen aus, um die neuesten Hardware-Sicherheitsfunktionen des Apple-Prozessors zu umgehen. Bei der Untersuchung zeigte sich zudem, dass Angreifer Apple-Geräte nicht nur über iMessage ohne Zutun der betroffenen Nutzer infizieren konnten; sie verfügten auch über eine Plattform, um Angriffe über den Webbrowser Safari auszuführen. Das führte wiederum zur Entdeckung und Behebung einer fünften Sicherheitslücke.
Das Apple-Team hat offiziell Sicherheitsupdates veröffentlicht, die vier von Kaspersky-Experten entdeckten Zero-Day-Schwachstellen beheben (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990). Diese Schwachstellen betreffen eine breite Palette von Apple-Produkten, darunter iPhones, iPods, iPads, macOS-Geräte, Apple TV und Apple Watch.
Zu den betroffenen Mitarbeitern bei Kaspersky gehören das obere und mittlere Management des Unternehmens sowie Sicherheits-Experten aus Russland, Europa, dem Nahen Osten und Afrika. Das Unternehmen war jedoch nicht das einzige Ziel des Angriffs. Bei der Veröffentlichung ihrer Analysen und der Entwicklung eines speziellen triangle_check-Tools haben die Experten von GReAT eine E-Mail-Adresse eingerichtet, über die jeder Interessierte zur Untersuchung beitragen konnte. Als Ergebnis erhielten die Experten von Kaspersky die Bestätigung von Fällen, in denen auch Einzelpersonen Opfer der Operation Triangulation geworden waren.
Empfehlungen zum Schutz vor zielgerichteten Angriffen
- Software, Apps und Betriebssystem regelmäßig aktualisieren, um potenzielle Sicherheitslücken zu schließen.
- Bei E-Mails, Nachrichten oder Anrufen, in denen nach vertraulichen Informationen gefragt wird, Vorsicht walten lassen. Keine persönlichen Daten ohne Weiteres preisgeben oder auf verdächtige Links klicken.
- Das SOC-Team sollte Zugang zu den aktuellsten Bedrohungsdaten haben.
- Damit das Cybersecurity-Team eines Unternehmens im Umgang mit den neuesten zielgerichteten Bedrohungen vorbereitet ist, sollten Online-Schulungen durchgeführt werden.
- EDR-Lösungen implementieren, die eine frühzeitige Erkennung, Untersuchung und rechtzeitige Behebung von Vorfällen auf Endpunktebene bieten.
www.kaspersky.de/