La empresa de seguridad Kaspersky, con sede en Moscú, se vio afectada por un ataque cibernético avanzado que usó exploits sin clic para infectar los iPhones de varias docenas de empleados con malware que recopila grabaciones de micrófonos, fotos, geolocalización y otros datos, dijeron funcionarios de la compañía.
“Estamos bastante seguros de que Kaspersky no fue el objetivo principal de este ciberataque”, escribió Eugene Kaspersky, fundador de la empresa, en un correo publicado el jueves. “Los próximos días traerán más claridad y más detalles sobre la proliferación mundial del spyware”.
Según funcionarios del Centro Nacional Ruso de Coordinación para Incidentes Informáticos, los ataques fueron parte de una campaña más amplia de la Agencia de Seguridad Nacional de EE. UU. que infectó varios miles de iPhones pertenecientes a personas dentro de misiones diplomáticas y embajadas en Rusia, específicamente de aquellos ubicados en países de la OTAN. , naciones postsoviéticas, Israel y China. Una alerta separada del FSB, el Servicio Federal de Seguridad de Rusia, alegó que Apple cooperó con la NSA en la campaña. Un representante de Apple negó el reclamo.
Este exploit APT sin clics se autodestruirá
El malware, que ha estado en uso contra los empleados de Kaspersky durante al menos cuatro años, se entregó en mensajes de texto de iMessage que adjuntaban un archivo malicioso que explotaba automáticamente una o más vulnerabilidades sin que el receptor tomara ninguna medida. Con eso, los dispositivos se infectaron con lo que los investigadores de Kaspersky descrito
Una vez que se instaló el malware APT, se eliminó el mensaje de texto inicial que inició la cadena de infección. En la publicación del jueves, Eugene Kaspersky escribió:
El ataque se lleva a cabo utilizando un iMessage invisible con un adjunto malicioso que, aprovechando una serie de vulnerabilidades del sistema operativo iOS, se ejecuta en el dispositivo e instala spyware. La implementación del spyware está completamente oculta y no requiere ninguna acción por parte del usuario. Además, el software espía también transmite silenciosamente información privada a servidores remotos: grabaciones de micrófonos, fotos de mensajería instantánea, geolocalización y datos sobre otras actividades del propietario del dispositivo infectado.
El ataque se lleva a cabo con la mayor discreción posible, sin embargo, el hecho de la infección fue detectado por Kaspersky Unified Monitoring and Analysis Platform (KUMA), una solución SIEM nativa para la gestión de información y eventos; el sistema detectó una anomalía en nuestra red proveniente de dispositivos Apple. La investigación adicional de nuestro equipo mostró que varias docenas de iPhones de nuestros empleados estaban infectados con un nuevo software espía extremadamente sofisticado tec nológicamente que llamamos ‘Triangulación’.
La Operación Triangulación recibe su nombre porque el malware utiliza una técnica conocida como toma de huellas dactilares de lienzo para descubrir con qué hardware y software está equipado un teléfono. Durante este proceso, el malware “dibuja un triángulo amarillo en la memoria del dispositivo”, dijo Eugene Kaspersky.
Los investigadores de Kaspersky dijeron que los primeros rastros de las infecciones de Triangulación se remontan a 2019 y, en junio de 2023, los ataques estaban en curso. La versión de iOS más reciente a la que se apuntó con éxito es la 15.7, que se actualizó el mes pasado. Un representante de Kaspersky dijo en un correo electrónico que
No está claro si alguna de las vulnerabilidades era de día cero, lo que significa que Apple las desconocía y no estaban parcheadas en iOS en el momento en que fueron explotadas. Un representante de Apple señaló que no hay indicios de que ninguno de los exploits funcione en versiones de iOS posteriores a la 15.7.
En un correo electrónico, un representante de Kaspersky escribió:
Durante la línea de tiempo del ataque, las vulnerabilidades de un día alguna vez fueron vulnerabilidades de día cero. Aunque no hay una indicación clara de que las mismas vulnerabilidades hayan sido explotadas anteriormente, es bastante posible.
En el momento de escribir este artículo, pudimos identificar una de las muchas vulnerabilidades que se explotaron, que probablemente sea CVE-2022-46690. Sin embargo, dada la sofisticación de la campaña de ciberespionaje y la complejidad del análisis de la plataforma iOS, investigaciones posteriores seguramente revelarán más detalles al respecto. Actualizaremos a la comunidad sobre nuevos hallazgos una vez que surjan.
El conjunto de herramientas maliciosas no puede ganar persistencia, lo que significa que no sobrevive a los reinicios, dijeron los investigadores de Kaspersky. Un representante de Kaspersky dijo en un correo electrónico que las víctimas recibieron vulnerabilidades de cero clics nuevamente después de reiniciar. Es probable que en los próximos días o semanas, la empresa proporcione más detalles técnicos sobre el malware, los objetivos de la campaña y sus orígenes.
Rusia acusa a Apple de colusión con la NSA
Las publicaciones de Kasperky coincidieron con una del FSB, el Servicio Federal de Seguridad de Rusia, alegando que “descubrió una operación de reconocimiento por parte de los servicios de inteligencia estadounidenses llevada a cabo utilizando dispositivos móviles de Apple. Durante el curso normal del monitoreo de seguridad, dijeron funcionarios de la agencia rusa, descubrieron que “varios miles de teléfonos” estaban infectados. La publicación acusó a Apple de ayudar en la supuesta operación de la Agencia de Seguridad Nacional.
“Por lo tanto, la información recibida por los servicios de inteligencia rusos atestigua la estrecha cooperación de la empresa estadounidense Apple con la comunidad de inteligencia nacional, en particular la NSA de EE. UU., y confirma que la política declarada de garantizar la confidencialidad de los datos personales de los usuarios de Apple dispositivos no es cierto”, escribieron los funcionarios. No proporcionaron detalles adicionales o evidencia para respaldar las afirmaciones.
En un correo electrónico, un representante de Apple negó la acusación y afirmó: “Nunca hemos trabajado con ningún gobierno para insertar una puerta trasera en ningún producto de Apple y nunca lo haremos”.
A correo Sin embargo, publicado por el Centro Nacional Ruso de Coordinación de Incidentes Informáticos, vinculó directamente la alerta del FSB con el ataque a Kaspersky. Un representante de Kaspersky escribió en un correo electrónico: “Aunque no tenemos detalles técnicos sobre lo que ha informado el FSB hasta el momento, el Centro Nacional de Coordinación de Incidentes Informáticos de Rusia (NCCCI) ya ha declarado en su alerta pública que los indicadores de compromiso son los mismos”. Un representante de la NSA dijo que la agencia no tenía comentarios sobre las acusaciones. Los representantes de Apple aún no han respondido a los correos electrónicos en busca de una respuesta.
Esta no es la primera vez que Kaspersky se ve comprometido con éxito en una campaña APT. En 2014, la empresa descubrió que el malware sigiloso había infectado su red durante meses antes de ser detectado. Si bien el atacante se esforzó por ocultar los orígenes de la infección, Kaspersky dijo que el malware en ese ataque era una versión actualizada de El alcalde, que se descubrió a finales de 2011 con un código derivado directamente de Stuxnet. Evidencia sugerida más tarde Duqu fue utilizado para espiar los esfuerzos de Irán para desarrollar material nuclear y controlar las relaciones comerciales del país.
“Somos muy conscientes de que trabajamos en un entorno muy agresivo y hemos desarrollado procedimientos de respuesta a incidentes apropiados”, escribió Eugene Kaspersky en la publicación del jueves. “Gracias a las medidas tomadas, la empresa está operando con normalidad, los procesos comerciales y los datos de los usuarios no se ven afectados y la amenaza ha sido neutralizada”.