Plus de détails ont émergé sur l’implant de logiciel espion qui est livré aux appareils iOS dans le cadre d’une campagne appelée Operation Triangulation.
Kaspersky, qui a découvert l’opération après être devenu l’une des cibles au début de l’année, a déclaré que le logiciel malveillant avait une durée de vie de 30 jours, après quoi il est automatiquement désinstallé à moins que la période ne soit prolongée par les attaquants.
La société russe de cybersécurité a nommé la porte dérobée TriangleDB.
« L’implant est déployé après que les attaquants ont obtenu les privilèges root sur l’appareil iOS cible en exploitant une vulnérabilité du noyau », ont déclaré les chercheurs de Kaspersky. a dit dans un nouveau rapport publié aujourd’hui.
« Il est déployé en mémoire, ce qui signifie que toutes les traces de l’implant sont perdues au redémarrage de l’appareil. Par conséquent, si la victime redémarre son appareil, les attaquants doivent le réinfecter en envoyant un iMessage avec une pièce jointe malveillante, lançant ainsi l’ensemble à nouveau la chaîne d’exploitation. »
L’opération Triangulation implique l’utilisation d’exploits sans clic via la plate-forme iMessage, permettant ainsi au logiciel espion de contrôler complètement l’appareil et les données utilisateur.
« L’attaque est menée à l’aide d’un iMessage invisible avec une pièce jointe malveillante, qui, en utilisant un certain nombre de vulnérabilités du système d’exploitation iOS, est exécuté sur un appareil et installe un logiciel espion », a déclaré Eugene Kaspersky, PDG de Kaspersky, précédemment a dit.
« Le déploiement du logiciel espion est complètement masqué et ne nécessite aucune action de la part de l’utilisateur. »
TriangleDB, écrit en Objective-C, forme le cœur du framework secret. Il est conçu pour établir des connexions cryptées avec un serveur de commande et de contrôle (C2) et envoyer périodiquement une balise de pulsation contenant les métadonnées de l’appareil.
Le serveur, pour sa part, répond aux messages de pulsation par l’une des 24 commandes qui permettent de vider les données du trousseau iCloud et de charger des modules Mach-O supplémentaires en mémoire pour récolter des données sensibles.
Cela inclut le contenu des fichiers, la géolocalisation, les applications iOS installées et les processus en cours d’exécution, entre autres. Les chaînes d’attaque culminent avec l’effacement du message initial pour brouiller les pistes.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
Un examen plus approfondi du code source a révélé certains aspects inhabituels où les auteurs de logiciels malveillants qualifient le décryptage de chaîne de « non munging » et attribuent des noms de la terminologie de la base de données aux fichiers (enregistrement), aux processus (schéma), au serveur C2 (serveur DB) et à la géolocalisation. informations (état de la base de données).
Un autre aspect notable est la présence de la routine « populateWithFieldsMacOSOnly ». Bien que cette méthode ne soit appelée nulle part dans l’implant iOS, la convention de dénomination soulève la possibilité que TriangleDB puisse également être militarisé pour cibler les appareils macOS.
« L’implant demande plusieurs droits (autorisations) au système d’exploitation », ont déclaré les chercheurs de Kaspersky.
« Certains d’entre eux ne sont pas utilisés dans le code, comme l’accès à la caméra, au microphone et au carnet d’adresses, ou l’interaction avec les appareils via Bluetooth. Ainsi, les fonctionnalités accordées par ces droits peuvent être implémentées dans des modules. »
On ne sait pas actuellement qui est derrière la campagne et quels sont leurs objectifs ultimes. Apple, dans une déclaration précédente partagée avec The Hacker News, a déclaré qu’il « n’a jamais travaillé avec un gouvernement pour insérer une porte dérobée dans un produit Apple et ne le fera jamais ».
Le gouvernement russe a cependant pointé du doigt les États-Unis, les accusant d’avoir piraté « plusieurs milliers » d’appareils Apple appartenant à des abonnés nationaux et à des diplomates étrangers dans le cadre de ce qu’il prétendait être une opération de reconnaissance.