Kaspersky veröffentlicht weitere Details zur Operation Triangulation. Demnach wurden fünf bis dahin unbekannte Zero-Days ausgenutzt, um iOS-Geräte anzugreifen. Die Angreifer hinter der Kampagne hatten sowohl die breite Öffentlichkeit als auch Mitarbeiter von Kaspersky im Visier.
Im Sommer dieses Jahres hat
Kaspersky einen APT-Angriff (Advanced Persistent Threat) auf iOS-Geräte
entdeckt [2]. Die Kampagne mit dem Namen „Operation Triangulation" nutzte
eine ausgeklügelte Methode, um Zero-Click-Exploits über iMessage zu verbreiten.
Dadurch erhielten die Angreifer die vollständige Kontrolle über das Gerät und
die darauf befindlichen Daten. Das globale Forschungs- und Analyseteam (GReAT)
von Kaspersky geht davon aus, dass das Hauptziel eine verdeckte Überwachung der
Nutzer war, von der auch Kaspersky-Mitarbeiter betroffen waren. Aufgrund der
Komplexität des Angriffs und der Geschlossenheit des iOS-Ökosystems hat eine
spezielle, teamübergreifende Task Force viel Zeit und Ressourcen in eine
detaillierte technische Analyse investiert.
Im Zuge der Analyse zeigte sich, dass die Angriffskette fünf Schwachstellen
ausnutzte, von denen vier bisher unbekannte Zero-Day-Lücken waren, für die
bereits Patches verfügbar sind. Die Schwachstellen wurden von Kaspersky an
Apple gemeldet.
Die Experten des Unternehmens identifizierten einen ersten Einstiegspunkt der
Angriffe über eine Schwachstelle in einer Schriftverarbeitungsbibliothek. Bei
der zweiten Lücke handelt es sich um eine extrem gefährliche und einfach
auszunutzende Schwachstelle im Memory-Mapping-Code. Diese ermöglicht den
Zugriff auf den physischen Speicher des betroffenen Geräts. Darüber hinaus
nutzten die Angreifer zwei weitere Schwachstellen aus, um die neuesten
Hardware-Sicherheitsfunktionen des Apple-Prozessors zu umgehen. Bei der
Untersuchung zeigte sich zudem, dass Angreifer Apple-Geräte nicht nur über
iMessage ohne Zutun der betroffenen Nutzer infizieren konnten; sie verfügten
auch über eine Plattform, um Angriffe über den Webbrowser Safari auszuführen.
Das führte wiederum zur Entdeckung und Behebung einer fünften Sicherheitslücke.
Das Apple-Team hat offiziell Sicherheitsupdates veröffentlicht, die vier von
Kaspersky-Experten entdeckten Zero-Day-Schwachstellen beheben (CVE-2023-32434,
CVE-2023-32435, CVE-2023-38606, CVE-2023-41990). Diese Schwachstellen betreffen
eine breite Palette von Apple-Produkten, darunter iPhones, iPods, iPads,
macOS-Geräte, Apple TV und Apple Watch.
„Die hardwarebasierten Sicherheitsfunktionen von Geräten mit neueren
Apple-Chips erhöhen ihre Widerstandsfähigkeit gegen Cyberangriffe erheblich.
Sie sind jedoch nicht unverwundbar“, erklärt Boris Larin, Principal Security
Researcher im Global Research and Analysis Team (GReAT) von Kaspersky.
„Operation Triangulation ist eine Mahnung zur Vorsicht beim Umgang mit
iMessage-Anhängen aus unbekannten Quellen. Die Erkenntnisse aus den bei
Operation Triangulation angewandten Strategien liefern wertvolle Hinweise.
Darüber hinaus kann ein ausgewogenes Verhältnis zwischen Systemabschottung und
Zugänglichkeit zu einem verbesserten Sicherheitslevel beitragen.“
Zu den betroffenen Mitarbeitern bei Kaspersky gehören das obere und mittlere
Management des Unternehmens sowie Sicherheits-Experten aus Russland, Europa,
dem Nahen Osten und Afrika. Das Unternehmen war jedoch nicht das einzige Ziel
des Angriffs. Bei der Veröffentlichung ihrer Analysen und der Entwicklung eines
speziellen triangle_check-Tools haben die Experten von GReAT eine
E-Mail-Adresse eingerichtet, über die jeder Interessierte zur Untersuchung
beitragen konnte. Als Ergebnis erhielten die Experten von Kaspersky die
Bestätigung von Fällen, in denen auch Einzelpersonen Opfer der Operation
Triangulation geworden waren. Diesen Opfern gab Kaspersky Tipps, wie sie ihre
Sicherheit verbessern können.
„Der Schutz von Systemen vor fortgeschrittenen Cyberangriffen ist keine leichte
Aufgabe; bei geschlossenen Systemen wie iOS wird sie noch komplizierter“, so
Igor Kuznetsov, Director GReAT bei Kaspersky. „Daher ist es wichtig,
mehrschichtige Sicherheitsmaßnahmen zu implementieren, um solche Angriffe zu
erkennen und zu verhindern.
Kaspersky-Empfehlungen zum Schutz vor zielgerichteten Angriffen
- Software, Apps und Betriebssystem regelmäßig aktualisieren, um potenzielle Sicherheitslücken zu schließen.
- Bei E-Mails, Nachrichten oder Anrufen, in denen nach vertraulichen Informationen gefragt wird, Vorsicht walten lassen. Keine persönlichen Daten ohne Weiteres preisgeben oder auf verdächtige Links klicken.
- Das SOC-Team sollte Zugang zu den aktuellsten Bedrohungsdaten haben. Das Kaspersky Threat Intelligence Portal [3] bietet Daten und Erkenntnisse, die von Kaspersky in über 20 Jahren gesammelt wurden.
- Damit das Cybersecurity-Team eines Unternehmens im Umgang mit den neuesten zielgerichteten Bedrohungen vorbereitet ist, sollten Online-Schulungen, wie jene, die von Kasperskys GReAT-Experten [4] entwickelt werden, durchgeführt werden.
- EDR-Lösungen wie Kaspersky Endpoint Detection and Response (EDR) [5] implementieren, die eine frühzeitige Erkennung, Untersuchung und rechtzeitige Behebung von Vorfällen auf Endpunktebene bieten.
Weitere Informationen zur aktuellen Analyse
von Operation Triangulation sind verfügbar unter https://securelist.com/operation-triangulation-catching-wild-triangle/110916/
[1] https://securelist.com/operation-triangulation-catching-wild-triangle/110916/
[2] https://www.kaspersky.de/about/press-releases/2023_kaspersky-berichtet-uber-neue-apt-kampagne-auf-mobile-ios-gerate
[3] https://www.kaspersky.de/enterprise-security/threat-intelligence
[4] https://xtraining.kaspersky.com
[5] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
Nützliche Links:
- Kaspersky-Analyse: https://securelist.com/operation-triangulation-catching-wild-triangle/110916/
- Kaspersky Threat Intelligence: https://www.kaspersky.de/enterprise-security/threat-intelligence
- Kaspersky Online Cybersecurity Training for Experts: https://xtraining.kaspersky.com
- Kaspersky Endpoint Detection and Response: https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
