Die Experten von Kaspersky haben eine weiterhin aktive Advanced Persistent Threat (APT)-Kampagne aufgedeckt, die auf iOS-Geräte mit einer bisher unbekannter Malware abzielt [1]. Die als ‚Operation Triangulation‘ bezeichnete Kampagne verbreitet Zero-Click-Exploits über iMessage, um Malware auszuführen und so die vollständige Kontrolle über das Gerät und die Nutzerdaten zu erlangen. Das Ziel der Kampagne ist es, die Nutzer heimlich auszuspionieren.
Die Kaspersky-Experten haben eine neue APT-Kampagne aufgedeckt, die auf iOS-Geräte abzielt. Sie wurde entdeckt, als die Experten den Netzwerkverkehr des eigenen Wi-Fi-Unternehmensnetzwerks mithilfe der Kaspersky Unified Monitoring and Analysis Platform (KUMA) überwachten. Bei einer weiteren Analyse zeigte sich, dass der Bedrohungsakteur iOS-Geräte von Dutzenden von Unternehmensmitarbeitern infiziert hatte.
Die Untersuchung der Angriffstechnik dauert noch an, allerdings konnten die Kaspersky-Experten den allgemeinen Infektionsablauf bereits ermitteln. Die Betroffenen erhielten über iMessage eine Nachricht mit einem Anhang, der einen Zero-Click-Exploit enthielt. Ohne eine weitere Interaktion nutzte die Nachricht eine Sicherheitslücke, die zu einer Code-Ausführung für die Rechteausweitung führte und so die vollständige Kontrolle über das infizierte Gerät ermöglichte. Sobald der Angreifer so erfolgreich in das Gerät eingedrungen war, wurde die Nachricht automatisch gelöscht. Darüber hinaus übermittelte die Malware private Informationen an andere Server, darunter Mikrofonaufzeichnungen, Fotos von Instant Messengern, Standortdaten sowie weitere Daten über eine Reihe anderer Aktivitäten des Besitzers des infizierten Geräts.
Die Analyse zeigt, dass es keine Auswirkungen auf die Produkte, Technologien und Dienstleistungen des Unternehmens gab. Keine Nutzerdaten von Kaspersky-Kunden oder kritische Unternehmensprozesse waren betroffen. Die Angreifer konnten nur auf diejenigen Daten zugreifen, die auf den infizierten Geräten gespeichert waren. Derzeit geht Kaspersky davon aus, dass der Angriff wahrscheinlich nicht speziell gegen das Unternehmen gerichtet war. Die folgenden Tage werden Klarheit darüber bringen, wie die Bedrohung in die weltweite Cyberbedrohungslandschaft einzuordnen ist.
„Wenn es um Cybersicherheit geht, können selbst die sichersten Betriebssysteme kompromittiert werden“, so Igor Kuznetsov, Leiter der EEMEA-Einheit beim Global Research and Analysis Team (GReAT) bei Kaspersky. „Da APT-Akteure ihre Taktiken ständig weiterentwickeln und nach neuen Schwachstellen suchen, die sie ausnutzen können, müssen Unternehmen dem Schutz ihrer Systeme Priorität einräumen. Sie müssen Mitarbeiter aufklären und sensibilisieren und diese mit den neuesten Bedrohungsinformationen und Tools ausstatten, um potenzielle Bedrohungen effektiv zu erkennen und abzuwehren. Unsere Untersuchungen der Operation Triangulation dauern an und wir werden weitere Details veröffentlichen, sobald diese vorliegen, da die Möglichkeit besteht, dass es weitere Betroffene dieser Spionage-Kampagne außerhalb Kasperskys gibt.“
Weitere Informationen zu Operation Triangulation sind verfügbar unter https://securelist.com/operation-triangulation/109842/
Um zu überprüfen, ob ein iOS-Gerät infiziert ist oder nicht, den Anweisungen auf der Website folgen.
[1] https://securelist.com/operation-triangulation/109842/
[2] https://support.kaspersky.com/help/KUMA/1.5/en-US/217694.htm
[3] https://www.kaspersky.de/enterprise-security/threat-intelligence
[5] https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform