Een kwestie van triangulation

Gerichte aanval op ons management met de Triangulation Trojan.

Triangulation: Trojan voor iOS

Hallo allemaal,

Vandaag kom ik met breaking cybersecurity-nieuws over een incident dat we pas net ontdekt hebben…

Onze experts hebben een uiterst complexe, professioneel gerichte cyberaanval ontdekt die gebruikmaakt van mobiele apparaten van Apple. Het doel van de aanval is het onopvallend plaatsen van spyware in de iPhones van werknemers van in ieder geval ons bedrijf, en dan zowel het midden- als het topmanagement.

De aanval wordt uitgevoerd via een onzichtbare iMessage met een schadelijke bijlage, die via een aantal kwetsbaarheden in het iOS-besturingssysteem op een apparaat wordt uitgevoerd en spyware installeert. De spyware is volledig verborgen en vereist verder geen actie van de gebruiker. Eenmaal op het apparaat verzendt de spyware stilletjes privé-informatie naar externe servers: microfoonopnames, foto’s van instant messengers, geolocaties en gegevens over een aantal andere activiteiten van de eigenaar van het geïnfecteerde apparaat.

Ondanks dat de aanval zo discreet mogelijk werd uitgevoerd, werd de infectie gedetecteerd door het Kaspersky Unified Monitoring and Analysis Platform (KUMA) – een eigen SIEM-oplossing voor security information en event management; het systeem detecteerde een anomalie in ons netwerk afkomstig van Apple-apparaten. Nader onderzoek door ons team wees uit dat enkele tientallen iPhones van senior medewerkers waren geïnfecteerd met nieuwe, extreem technologisch geavanceerde spyware die we “Triangulation” hebben genoemd.

Door het gesloten karakter van iOS zijn er geen standaard besturingssysteemprogramma’s (en kunnen die er ook niet komen) om deze spyware op geïnfecteerde smartphones op te sporen en te verwijderen. Hier zijn externe tools voor nodig.

Een indirecte aanwijzing voor de aanwezigheid van Triangulation op het apparaat is het uitschakelen van de mogelijkheid om iOS bij te werken. Voor een nauwkeurigere en betrouwbaardere herkenning van een daadwerkelijke infectie moet er een reservekopie van het apparaat worden gemaakt en vervolgens met een speciaal hulpprogramma worden gecontroleerd. Gedetailleerdere aanbevelingen vindt je in technische artikel op Securelist. We ontwikkelen ook een gratis detectieprogramma en zullen dit beschikbaar stellen zodra het getest is.

Vanwege bepaalde eigenaardigheden die inherent zijn aan het blokkeren van iOS-updates op geïnfecteerde apparaten, hebben we nog geen effectieve manier gevonden om de spyware te verwijderen zonder verlies van gebruikersgegevens. Dat kan alleen door geïnfecteerde iPhones te resetten naar de fabrieksinstellingen en de nieuwste versie van het besturingssysteem en de hele gebruikersomgeving opnieuw te installeren. Zelfs als de spyware na een herstart uit het geheugen van het apparaat wordt verwijderd, kan Triangulation nog steeds opnieuw infecteren via kwetsbaarheden in een verouderde versie van iOS.

Ons verslag over Triangulation vormt slechts het begin van het onderzoek naar deze geraffineerde aanval. Vandaag publiceren we de eerste resultaten van de analyse, maar er is nog veel werk aan de winkel. Naarmate het incident verder wordt onderzocht, zullen we nieuwe gegevens bijwerken in een speciale post op Securelist,en zullen onze volledige, afgeronde bevindingen delen op de internationale Security Analyst Summit in oktober (volg het nieuws op de site).

We zijn ervan overtuigd dat Kaspersky niet het belangrijkste doelwit was van deze cyberaanval. De komende dagen zal er meer duidelijkheid en meer details komen over de wereldwijde verspreiding van deze spyware.

Wij denken dat de belangrijkste reden voor dit incident het propriëtaire karakter van iOS is. Dit besturingssysteem is een ‘zwarte doos’, waarin spyware als Triangulation zich jarenlang kan verbergen. Het detecteren en analyseren van dergelijke bedreigingen wordt des te moeilijker gemaakt door Apple’s monopolie op onderzoekstools, waardoor het een perfect toevluchtsoord is voor spyware. Met andere woorden, zoals ik vaak heb gezegd, de gebruikers krijgen de illusie van veiligheid die verband wordt gebracht met de volledige ondoorzichtigheid van het systeem. Wat er werkelijk gebeurt in iOS is onbekend bij cybersecurity-deskundigen, en het ontbreken van nieuws over aanvallen wijst er geenszins op dat ze onmogelijk zijn, zoals we zojuist hebben gezien.

Ik wil u eraan herinneren dat dit niet het eerste geval is van een gerichte aanval op ons bedrijf. We zijn ons ervan bewust dat we in een zeer agressieve omgeving werken, en hebben de juiste procedures ontwikkeld om op dit soort incidenten te reageren. Dankzij de genomen maatregelen functioneert het bedrijf normaal, zijn de bedrijfsprocessen en gebruikersgegevens niet aangetast en is de dreiging geneutraliseerd. We blijven u beschermen, zoals altijd.

P.S. Waarom “Triangulation”?

Om de software- en hardwarespecificaties van het aangevallen systeem te herkennen, gebruikt Triangulation Canvas Fingerprinting technologie en tekent een gele driehoek in het geheugen van het apparaat.

Tips