Hallo zusammen, heute haben wir eine bedeutende Nachricht.
Unsere Experten haben einen äußerst komplexen, professionell angelegten Cyberangriff entdeckt, der die mobilen Geräte von Apple betrifft. Zweck dieses Angriffs ist das unauffällige Einschleusen von Spyware in die iPhones von Mitarbeitern unseres Unternehmens – sowohl des Top- als auch des Mittleren Managements.
Der Angriff erfolgt über eine unsichtbare iMessage mit einem schadhaften Anhang, der unter Ausnutzung einer Reihe von Sicherheitslücken im iOS-Betriebssystem auf dem Gerät ausgeführt wird und Spyware installiert. Diese Installation erfolgt völlig unbemerkt und erfordert keine Aktion seitens des Nutzers. Darüber hinaus überträgt die Spyware unauffällig private Informationen an entfernte Server: Mikrofonaufzeichnungen, Fotos aus Instant Messengern, Geolocation und Daten über eine Reihe anderer Aktivitäten des Users des infizierten Geräts.
Der Angriff erfolgt so unauffällig wie möglich, doch die Infektion wurde von der Kaspersky Unified Monitoring and Analysis Platform (KUMA), einer nativen SIEM-Lösung für das Informations- und Ereignis-Management, erkannt; das System entdeckte eine Anomalie in unserem Netzwerk, die von Apple-Geräten ausging. Weitere Untersuchungen unseres Teams ergaben, dass mehrere Dutzend iPhones unserer Mitarbeiter mit einer neuen, technologisch äußerst anspruchsvollen Spyware infiziert waren, die wir „Triangulation“ nannten.
Aufgrund des geschlossenen Charakters von iOS gibt es keine Standard-Betriebssystem-Tools zur Erkennung und Entfernung dieser Spyware auf infizierten Smartphones (und kann es auch nicht geben). Zu diesem Zweck muss auf externe Tools zurückgegriffen werden.
Ein impliziter Hinweis auf das Vorhandensein von Triangulation auf dem Gerät ist die Deaktivierung der Möglichkeit, iOS zu aktualisieren. Für eine genauere Erkennung der Infektion muss eine Sicherungskopie des Geräts erstellt und diese mit einem speziellen Dienstprogramm überprüft werden. Ausführlichere Empfehlungen sind in diesem technischen Artikel auf Securelist zu finden. Wir sind gerade dabei, ein kostenloses Erkennungsprogramm zu entwickeln und werden es nach dem Testen zur Verfügung stellen.
Aufgrund der Besonderheiten bei der Blockierung von iOS-Updates auf infizierten Geräten haben wir bisher noch keine effektive Möglichkeit gefunden, Spyware zu entfernen, ohne dass Nutzerdaten verloren gehen. Dies ist nur möglich, indem infizierte iPhones auf ihre Werkseinstellungen zurückgesetzt und die neueste Version des Betriebssystems sowie die gesamte Nutzerumgebung von Grund auf neu installiert werden. Andernfalls kann Triangulation es selbst dann, wenn die Spyware nach einem Neustart aus dem Gerätespeicher gelöscht wurde, über Schwachstellen in einer veralteten Version von iOS erneut infizieren.
Dieser erste Bericht zur Operation Triangulation stellt nur den Beginn der Untersuchungen dieses raffinierten Angriffs dar. Heute veröffentlichen wir die ersten Ergebnisse der Analyse, aber es liegt noch viel Arbeit vor uns. Während der weiteren Untersuchungen des Vorfalls werden wir neue Daten in einem speziellen Beitrag auf Securelist veröffentlichen und auf dem internationalen Security Analyst Summit im Oktober eine Bilanz der geleisteten Arbeit ziehen ( Nachrichten hierzu auf dieser Website).
Wir sind ziemlich überzeugt davon, dass Kaspersky nicht das Hauptziel dieses Cyberangriffs war. Die kommenden Tage werden mehr Klarheit und weitere Details über die weltweite Verbreitung der Spyware bringen.
Wir glauben, dass der Hauptgrund für diesen Vorfall in der proprietären Natur von iOS liegt. Dieses Betriebssystem ist eine „Black Box“, in der sich Spionageprogramme wie Triangulation jahrelang verstecken können. Die Erkennung und Analyse solcher Bedrohungen wird durch das Monopol von Apple auf Forschungswerkzeuge erschwert und macht es zu einem perfekten Zufluchtsort für Spionageprogramme. Mit anderen Worten: Wie ich bereits mehrfach gesagt habe, wird Nutzern die Illusion von Sicherheit vermittelt, die mit der völligen Undurchsichtigkeit des Systems einhergeht. Was tatsächlich in iOS passiert, ist Cybersecurity-Experten unbekannt. Das Ausbleiben von Nachrichten über die Angriffe deutet keineswegs auf eine Unmöglichkeit der Angriffe selbst hin – wie wir gerade sehen.
Zur Erinnerung:, das ist nicht der erste Fall eines gezielten Angriffs auf unser Unternehmen. Wir sind uns sehr bewusst, dass wir in einem enorm aggressiven Umfeld arbeiten und haben entsprechende Verfahren zur Reaktion auf Vorfälle entwickelt. Dank der ergriffenen Maßnahmen funktioniert das Unternehmen normal weiter, Geschäftsprozesse und Nutzerdaten sind nicht beeinträchtigt, und die Bedrohung wurde neutralisiert. Wir werden Sie weiterhin schützen, wie gewohnt.
P.S. Warum „Triangulation“?
Um die Software- und Hardware-Spezifikationen des angegriffenen Systems zu erkennen, verwendet Triangulation die Canvas-Fingerprinting-Technologie und zeichnet ein gelbes Dreieck in den Speicher des Geräts.