Vor nicht allzu langer Zeit haben unsere Technologien einen neuen APT-Angriff auf iPhones entdeckt. Der Angriff war Teil einer Kampagne, die u.a. auf Kaspersky-Mitarbeiter abzielte. Unbekannte Angreifer nutzten eine Schwachstelle im iOS-Kernel, um ein Spyware-Implantat mit dem Namen TriangleDB in den Speicher des Geräts einzuschleusen. Unser Expertenteam konnte dieses Implantat gründlich untersuchen
Was kann das TriangleDB-Implantat bewirken?
Die Untersuchung dieses Implantats war keine leichte Aufgabe, da es nur im Speicher des Telefons arbeitet und keine Spuren im System hinterlässt. Das heißt, der Neustart löscht alle Spuren des Angriffs. Die Malware verfügte über einen Selbstzerstörungs-Timer, der 30 Tage nach der Erstinfektion automatisch aktiviert wurde (sofern die Betreiber nicht beschlossen haben, einen Befehl zur Verlängerung der Betriebszeit zu senden). Die Grundfunktionalität des Implantats umfasst die folgenden Merkmale:
- Dateimanipulation (Erstellung, Änderung, Löschung und Exfiltration);
- Manipulationen an laufenden Prozessen (Abrufen einer Liste und Beenden der Prozesse);
- Exfiltration von iOS Schlüsselbund-Elementen – die Zertifikate, digitale Identitäten und/oder Anmeldeinformationen für verschiedene Services enthalten können;
- Übermittlung von Geolokalisierungsdaten – einschließlich Koordinaten, Höhe, Geschwindigkeit und Bewegungsrichtung.
Außerdem kann das Implantat zusätzliche Module in den Speicher des Telefons laden und ausführen. Wenn Sie sich für die technischen Details des Implantats interessieren, finden Sie diese in einem Beitrag im Securelist-Blog (der sich an Cybersicherheitsexperten richtet).
APT-Angriffe auf mobile Geräte
In letzter Zeit waren traditionelle PCs das Hauptziel von APT-Angriffen. Moderne mobile Geräte sind jedoch heutzutage in Bezug auf Leistung und Funktionalität mit Büro-PCs vergleichbar. Sie werden verwendet, um mit geschäftskritischen Informationen zu interagieren, speichern sowohl persönliche als auch geschäftliche Geheimnisse und können als Zugangsschlüssel zu arbeitsbezogenen Diensten dienen. Daher bemühen sich APT-Gruppen umso mehr, Angriffe auf mobile Betriebssysteme zu entwickeln
Natürlich ist Triangulation nicht der erste Angriff, der auf iOS-Geräte abzielt. Jeder erinnert sich an den berüchtigten (und leider immer noch andauernden) Fall der kommerziellen Spyware Pegasus. Es gab auch andere Beispiele, wie Insomnia, Predator, Reign, usw. Es ist also kein Wunder, dass sich APT-Gruppen auch für das Android-Betriebssystem interessieren. Vor nicht allzu langer Zeit berichteten Nachrichtenagenturen über einen Angriff der APT-Gruppe „Transparent Tribe“, die die CapraRAT-Backdoor gegen indische und pakistanische Nutzer dieses Systems einsetzte. Und im dritten Quartal des letzten Jahres entdeckten wir eine bisher unbekannte Spyware, die auf Farsi sprechende Benutzer abzielte
All dies deutet darauf hin, dass es zum Schutz eines Unternehmens vor APT-Angriffen heutzutage notwendig ist, nicht nur die Sicherheit der stationären Geräte – Server und Workstations – zu gewährleisten, sondern auch die der mobilen Geräte, die im Arbeitsprozess eingesetzt werden.
Wie Sie Ihre Chancen gegen APT-Angriffe auf Mobiltelefone verbessern können
Es wäre falsch anzunehmen, dass die von den Geräteherstellern bereitgestellten Standardschutztechnologien ausreichen, um mobile Geräte zu schützen. Der Fall Operation Triangulation zeigt deutlich, dass selbst die Technologien von Apple nicht perfekt sind. Wir empfehlen daher, dass Unternehmen immer ein mehrstufiges Schutzsystem einsetzen sollten, das bequeme Tools zur Kontrolle mobiler Geräte sowie Systeme zur Überwachung ihrer Netzwerkinteraktionen umfasst.
Die erste Verteidigungslinie sollte eine Lösung der MDM-Klasse sein. Unser Endpoint Security for Mobile bietet eine zentrale Verwaltung der Sicherheit mobiler Geräte über Kaspersky Security Center, unsere Administrationskonsole. Darüber hinaus bietet unsere Lösung Schutz vor Phishing, Web-Bedrohungen und Malware (nur für Android; Apple erlaubt leider keine Antivirenlösungen von Drittanbietern).
Insbesondere nutzt es die Cloud ML for Android-Technologie, um Android-bezogene Malware zu erkennen. Diese Technologie, die in der KSN-Cloud arbeitet, basiert auf Methoden des maschinellen Lernens. Das Modell, das auf Millionen bekannter Android-Malware-Samples trainiert wurde, erkennt auch bisher unbekannte Malware mit hoher Präzision.
Jedoch nutzen Bedrohungsakteure zunehmend mobile Plattformen für raffinierte, gezielte Angriffe. Daher ist es sinnvoll, ein System zu verwenden, das Netzwerkaktivitäten überwachen kann – sei es Security Information and Event Management (SIEM) oder ein anderes Tool, das Ihre Experten in die Lage versetzt, komplexe Sicherheitsvorfälle mit unübertroffener erweiterter Erkennung und Reaktion zu bewältigen, wie unsere Kaspersky Anti Targeted Attack Platform.
Die oben erwähnte Operation Triangulation wurde von unserem Expertenteam bei der Überwachung eines unternehmenseigenen WLAN-Netzwerks mit unserem eigenen SIEM-System Kaspersky Unified Monitoring and Analysis Platform (KUMA) entdeckt. Darüber hinaus sind unsere Threat Intelligence Lösungen in der Lage, Sicherheitssysteme und -experten mit aktuellen Informationen über neue Bedrohungen sowie über Techniken, Taktiken und Verfahren von Angreifern zu versorgen.