Un nouveau piratage Zero-Click cible les utilisateurs d'iOS avec un malware Stealthy Root-Privilege

Une menace persistante avancée (APT) jusque-là inconnue cible les appareils iOS dans le cadre d’une campagne mobile sophistiquée et de longue durée baptisée Opération Triangulation qui a commencé en 2019.

« Les cibles sont infectées à l’aide d’exploits sans clic via la plate-forme iMessage, et le malware s’exécute avec les privilèges root, obtenant un contrôle complet sur l’appareil et les données utilisateur », a déclaré Kaspersky.

La société russe de cybersécurité a déclaré avoir découvert des traces de compromis après avoir créé des sauvegardes hors ligne des appareils ciblés.

La chaîne d’attaque commence par la réception par l’appareil iOS d’un message via iMessage contenant une pièce jointe portant l’exploit.

L’exploit est dit zéro-clic, ce qui signifie que la réception du message déclenche la vulnérabilité sans nécessiter aucune interaction de l’utilisateur afin de réaliser l’exécution du code.

Il est également configuré pour récupérer des charges utiles supplémentaires pour l’élévation des privilèges et déposer un malware de dernière étape à partir d’un serveur distant que Kaspersky a décrit comme une « plate-forme APT complète ».

L’implant, qui s’exécute avec des privilèges root, est capable de récolter des informations sensibles et équipé pour exécuter du code téléchargé sous forme de modules de plug-in à partir du serveur.

« En outre, le logiciel espion transmet également discrètement des informations privées à des serveurs distants : enregistrements de microphones, photos de messageries instantanées, géolocalisation et données sur un certain nombre d’autres activités du propriétaire de l’appareil infecté », ont déclaré les chercheurs de Kaspersky.

Dans la phase finale, le message initial et l’exploit dans la pièce jointe sont supprimés pour effacer toute trace de l’infection.

« L’ensemble d’outils malveillants ne prend pas en charge la persistance, probablement en raison des limites de la [operating system] », a déclaré Kaspersky. « Les délais de plusieurs appareils indiquent qu’ils peuvent être réinfectés après le redémarrage. »

L’ampleur et la portée exactes de la campagne restent floues, mais la société a déclaré que les attaques se poursuivaient, avec des infections réussies pénétrant des appareils exécutant iOS 15.7, qui a été publié le 12 septembre 2022.

On ne sait pas non plus si les attaques tirent parti d’une vulnérabilité de type « zero-day » – c’est-à-dire une faille découverte par les attaquants avant qu’elle ne soit connue du fournisseur de logiciels – dans iOS. La dernière version d’iOS est la 16.5, bien qu’Apple ait également publié une mise à jour 15.7.6 le mois dernier.

Le Kremlin accuse les États-Unis de pirater des milliers d’appareils Apple

Coïncidant avec le rapport de Kaspersky, le Service fédéral de sécurité (FSB) de Russie a publié un avis accusant les agences de renseignement américaines d’avoir piraté « plusieurs milliers » d’appareils Apple appartenant à des abonnés nationaux et à des diplomates étrangers via des voies jusqu’alors inconnues dans le cadre d’une « opération de reconnaissance ».

Le FSB a également affirmé que les efforts montraient une « coopération étroite » entre Apple et la National Security Agency (NSA). Aucun autre détail technique n’a été fourni. Apple, dans une déclaration partagée avec The Hacker News, a déclaré qu’il « n’a jamais travaillé avec un gouvernement pour insérer une porte dérobée dans un produit Apple et ne le fera jamais ».

« Les services de renseignement américains utilisent depuis des décennies des géants de l’informatique pour collecter les données personnelles des internautes à leur insu », a déclaré le ministère russe des Affaires étrangères dans un communiqué. « Dans ce cas, ils ont utilisé les vulnérabilités logicielles des smartphones fabriqués aux États-Unis. »

Le chercheur de Kaspersky, Ivan Kwiatkowski, a depuis reconnu les « deux ensembles d’activités sont en fait liés », citant des chevauchements dans les indicateurs de compromis (IoC) publiés par RU-CERT.

Le fournisseur d’antimalware a en outre décrit l’opération Triangulation comme une « cyberattaque ciblée extrêmement complexe et professionnelle », notant qu’elle ciblait « plusieurs dizaines d’iPhones d’employés seniors ». La véritable exposition de la campagne d’espionnage reste à déterminer.

(L’histoire a été mise à jour après sa publication pour refléter des informations supplémentaires sur les attaques et les cibles impliquées.)

Un nouveau piratage Zero-Click cible les utilisateurs d’iOS avec un malware Stealthy Root-Privilege

Le Kremlin accuse les États-Unis de pirater des milliers d’appareils Apple

Le nouveau logiciel malveillant financier « JanelaRAT » cible les utilisateurs latino-américains

L’activité des logiciels malveillants DarkGate augmente à mesure que le développeur loue des logiciels malveillants à ses affiliés

Un nouveau rapport révèle les intrusions de longue date de Shuckworm dans les organisations ukrainiennes

CAPTCHA-Breaking Services avec des solveurs humains aidant les cybercriminels à vaincre la sécurité

5 raisons pour lesquelles les outils de sécurité informatique ne fonctionnent pas pour OT

Le groupe Lazarus exploite une faille critique de Zoho ManageEngine pour déployer un logiciel malveillant Stealthy QuiteRAT

Le Kremlin accuse les États-Unis de pirater des milliers d’appareils Apple

A lire également