Foto: Kaspersky
Wie Firmenchef und -gründer Eugene Kaspersky in einem Blogbeitrag ausführt, hat die hauseigene SIEM-Lösung Anfang des Jahres eine Anomalie im Netzwerk festgestellt, die von Apple-Geräten ausging. Weitere Untersuchungen hätten dann ergeben, dass mehrere Dutzend iPhones leitender Angestellter mit einer neuen, technologisch äußerst ausgefeilten Spyware infiziert waren.
Übermittelt wird die auf den Firmen-iPhones entdeckte Malware in iMessage-Texten, teilte Kaspersky mit. Die Mitteilung enthält dabei einen bösartigen Anhang, der unter Ausnutzung einer Reihe von Sicherheitslücken im iOS-Betriebssystem auf einem Gerät ausgeführt wird und Spyware installiert. Die Installation der Spyware erfolge dabei völlig unbemerkt, anschließend würden dann über die ausgereifte APT-Plattform (Advanced Persistant Thread) unauffällig private Informationen wie Mikrofonaufzeichnungen, Fotos aus Instant Messengern, Geolocation und Daten über eine Reihe anderer Aktivitäten des Besitzers an entfernte Server übertragen.
American Intelligence agencies are filled with nerds.
— vx-underground (@vxunderground) June 2, 2023
The Kaspersky Operation Triangulation report cites mobilegamerstats[.]com as C2 domain. Its AWS host houses other listed C2 domains.
The SOA_EMAIL is a reference Tonari no Kaibutsu-kun (My Little Monster) - a manga ?????? pic.twitter.com/HsK5JrqpB1
Spyware seit vier Jahren aktiv
Wie die russischen Security-Experten in einem Securelist-Beitrag schreiben, stammen die ältesten Spuren einer Infektion aus dem Jahr 2019. Bis heute sei der Angriff noch im Gange und die neueste Version der erfolgreich angegriffenen Geräte sei iOS 15.7.
Kaspersky nennt die Spyware " Triangulation" weil diese eine als Canvas Fingerprinting bekannte Technik nutzt, um herauszufinden, mit welcher Hard- und Software ein Device ausgestattet ist. Während dieses Prozesses "zeichnet die Malware ein gelbes Dreieck in den Speicher des Geräts", so der Firmenchef.
Der Security-Experte geht davon aus, dass sein Unternehmen nicht das Hauptziel dieses Cyberangriffs ist. Dafür spricht auch eine zeitgleich ausgegebene Mitteilung des russischen Geheimdiensts FSB. In dieser wird die USA öffentlich beschuldigt, mehrere Tausende von Apple-iPhones gehackt zu haben, darunter auch die von Personen innerhalb Russlands, die zu Botschaften von NATO-Ländern, postsowjetischen Ländern, Israel, Hongkong und China gehörten.
Zusammenarbeit zwischen NSA und Apple?
Der FSB geht sogar noch einen Schritt weiter und behauptet, diese Schadsoftware zeige "die enge Zusammenarbeit des amerikanischen Unternehmens Apple mit den nationalen Geheimdiensten, insbesondere der US-amerikanischen NSA."
Die Entdeckung bestätige, dass die erklärte Politik, die Vertraulichkeit personenbezogener Daten von Nutzern von Apple-Geräten zu gewährleisten, nicht wahr sei, führt der russische Geheimdienst weiter aus: "Das Unternehmen bietet den US-Geheimdiensten vielfältige Möglichkeiten, alle Personen, die für das Weiße Haus von Interesse sind, zu kontrollieren - einschließlich ihrer Partner bei antirussischen Aktivitäten, als auch ihre eigenen Bürger."
Auch Eugene Kaspersky kritisierte Apple in seinem Blogpost, allerdings sind die Anschuldigungen hier eher technischer Natur: "Aufgrund des geschlossenen Charakters von iOS gibt es keine Standard-Betriebssystem-Tools (und kann es auch nicht geben), um diese Spyware auf infizierten Smartphones zu erkennen und zu entfernen. Hierfür werden externe Tools benötigt."
Was CVE-2023-23529 the #0day that was used to hack @Kaspersky in #IOSTriangulation?
— Tal Be'ery (@TalBeerySec) June 1, 2023
Apple released only 1 iOS update in Feb and it fits the description: arbitrary code execution (RCE) + can be triggered by a malicious attachment + "actively exploited" + "anonymous researcher" https://t.co/Qdu2odUjSF pic.twitter.com/3nXhggVeEC
"Security by Obscurity ist eine Illusion"
Gleichzeitig nennt er das Betriebssystem eine "Black Box", in der sich Spionageprogramme wie Triangulation jahrelang verstecken können. Durch das Monopol von Apple auf Forschungs-Tools werde das Aufspüren und Analysieren solcher Bedrohungen erschwert, was es zu einem perfekten Zufluchtsort für Spionageprogramme macht.
"Was tatsächlich in iOS passiert, ist den Cybersecurity-Experten nicht bekannt, und das Ausbleiben von Nachrichten über Angriffe bedeutet keineswegs, dass sie unmöglich sind - wie wir gerade gesehen haben", so Kaspersky.
Die Entdeckung der Spyware ist möglicherweise auch ein Grund dafür, weshalb russische Politiker und Beamte wegen Sicherheitsbedenken seit April keine iPhones mehr bei der Arbeit nutzen dürfen.