Operation Triangulation: Angreifer nutzten mehrere Zero-Days aus

Im Sommer dieses Jahres hat Kaspersky einen APT-Angriff (Advanced Persistent Threat) auf iOS-Geräte entdeckt [2]. Die Kampagne mit dem Namen „Operation Triangulation" nutzte eine ausgeklügelte Methode, um Zero-Click-Exploits über iMessage zu verbreiten. Dadurch erhielten die Angreifer die vollständige Kontrolle über das Gerät und die darauf befindlichen Daten. Das globale Forschungs- und Analyseteam (GReAT) von Kaspersky geht davon aus, dass das Hauptziel eine verdeckte Überwachung der Nutzer war, von der auch Kaspersky-Mitarbeiter betroffen waren. Aufgrund der Komplexität des Angriffs und der Geschlossenheit des iOS-Ökosystems hat eine spezielle, teamübergreifende Task Force viel Zeit und Ressourcen in eine detaillierte technische Analyse investiert.

Im Zuge der Analyse zeigte sich, dass die Angriffskette fünf Schwachstellen ausnutzte, von denen vier bisher unbekannte Zero-Day-Lücken waren, für die bereits Patches verfügbar sind. Die Schwachstellen wurden von Kaspersky an Apple gemeldet.

Die Experten des Unternehmens identifizierten einen ersten Einstiegspunkt der Angriffe über eine Schwachstelle in einer Schriftverarbeitungsbibliothek. Bei der zweiten Lücke handelt es sich um eine extrem gefährliche und einfach auszunutzende Schwachstelle im Memory-Mapping-Code. Diese ermöglicht den Zugriff auf den physischen Speicher des betroffenen Geräts. Darüber hinaus nutzten die Angreifer zwei weitere Schwachstellen aus, um die neuesten Hardware-Sicherheitsfunktionen des Apple-Prozessors zu umgehen. Bei der Untersuchung zeigte sich zudem, dass Angreifer Apple-Geräte nicht nur über iMessage ohne Zutun der betroffenen Nutzer infizieren konnten; sie verfügten auch über eine Plattform, um Angriffe über den Webbrowser Safari auszuführen. Das führte wiederum zur Entdeckung und Behebung einer fünften Sicherheitslücke.

Das Apple-Team hat offiziell Sicherheitsupdates veröffentlicht, die vier von Kaspersky-Experten entdeckten Zero-Day-Schwachstellen beheben (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990). Diese Schwachstellen betreffen eine breite Palette von Apple-Produkten, darunter iPhones, iPods, iPads, macOS-Geräte, Apple TV und Apple Watch.

„Die hardwarebasierten Sicherheitsfunktionen von Geräten mit neueren Apple-Chips erhöhen ihre Widerstandsfähigkeit gegen Cyberangriffe erheblich. Sie sind jedoch nicht unverwundbar“, erklärt Boris Larin, Principal Security Researcher im Global Research and Analysis Team (GReAT) von Kaspersky. „Operation Triangulation ist eine Mahnung zur Vorsicht beim Umgang mit iMessage-Anhängen aus unbekannten Quellen. Die Erkenntnisse aus den bei Operation Triangulation angewandten Strategien liefern wertvolle Hinweise. Darüber hinaus kann ein ausgewogenes Verhältnis zwischen Systemabschottung und Zugänglichkeit zu einem verbesserten Sicherheitslevel beitragen.“

Zu den betroffenen Mitarbeitern bei Kaspersky gehören das obere und mittlere Management des Unternehmens sowie Sicherheits-Experten aus Russland, Europa, dem Nahen Osten und Afrika. Das Unternehmen war jedoch nicht das einzige Ziel des Angriffs. Bei der Veröffentlichung ihrer Analysen und der Entwicklung eines speziellen triangle_check-Tools haben die Experten von GReAT eine E-Mail-Adresse eingerichtet, über die jeder Interessierte zur Untersuchung beitragen konnte. Als Ergebnis erhielten die Experten von Kaspersky die Bestätigung von Fällen, in denen auch Einzelpersonen Opfer der Operation Triangulation geworden waren. Diesen Opfern gab Kaspersky Tipps, wie sie ihre Sicherheit verbessern können.

„Der Schutz von Systemen vor fortgeschrittenen Cyberangriffen ist keine leichte Aufgabe; bei geschlossenen Systemen wie iOS wird sie noch komplizierter“, so Igor Kuznetsov, Director GReAT bei Kaspersky. „Daher ist es wichtig, mehrschichtige Sicherheitsmaßnahmen zu implementieren, um solche Angriffe zu erkennen und zu verhindern.

Kaspersky-Empfehlungen zum Schutz vor zielgerichteten Angriffen

• Software, Apps und Betriebssystem regelmäßig aktualisieren, um potenzielle Sicherheitslücken zu schließen.
• Bei E-Mails, Nachrichten oder Anrufen, in denen nach vertraulichen Informationen gefragt wird, Vorsicht walten lassen. Keine persönlichen Daten ohne Weiteres preisgeben oder auf verdächtige Links klicken.
• Das SOC-Team sollte Zugang zu den aktuellsten Bedrohungsdaten haben. Das Kaspersky Threat Intelligence Portal [3] bietet Daten und Erkenntnisse, die von Kaspersky in über 20 Jahren gesammelt wurden.
• Damit das Cybersecurity-Team eines Unternehmens im Umgang mit den neuesten zielgerichteten Bedrohungen vorbereitet ist, sollten Online-Schulungen, wie jene, die von Kasperskys GReAT-Experten [4] entwickelt werden, durchgeführt werden.
• EDR-Lösungen wie Kaspersky Endpoint Detection and Response (EDR) [5] implementieren, die eine frühzeitige Erkennung, Untersuchung und rechtzeitige Behebung von Vorfällen auf Endpunktebene bieten.

Weitere Informationen zur aktuellen Analyse von Operation Triangulation sind verfügbar unter https://securelist.com/operation-triangulation-catching-wild-triangle/110916/

[1] https://securelist.com/operation-triangulation-catching-wild-triangle/110916/ 
[2] https://www.kaspersky.de/about/press-releases/2023_kaspersky-berichtet-uber-neue-apt-kampagne-auf-mobile-ios-gerate
[3] https://www.kaspersky.de/enterprise-security/threat-intelligence
[4] https://xtraining.kaspersky.com
[5] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr

Nützliche Links:

• Kaspersky-Analyse: https://securelist.com/operation-triangulation-catching-wild-triangle/110916/
• Kaspersky Threat Intelligence: https://www.kaspersky.de/enterprise-security/threat-intelligence
• Kaspersky Online Cybersecurity Training for Experts: https://xtraining.kaspersky.com
• Kaspersky Endpoint Detection and Response: https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr