Na quinta-feira, a Kaspersky anunciou o alegado ciberataque e publicou um relatório técnico de análise do mesmo, onde a empresa admitiu que a sua análise ainda não está completa. A empresa disse que os hackers, que até agora são desconhecidos, entregaram o malware com um exploit de clique zero através de um anexo iMessage, e que todos os eventos aconteceram num período de um a três minutos.
We've discovered a new cyberattack against iOS called Triangulation.
The attack starts with iMessage with a malicious attachment, which, using a number of vulnerabilities in iOS installs spyware. No user action is required.#IOSTriangulation pic.twitter.com/daxEYZwXwD
— Eugene Kaspersky (@e_kaspersky) June 1, 2023
O porta-voz da Kaspersky, Sawyer Van Horn, disse que a empresa determinou que uma das vulnerabilidades usadas na operação é conhecida e foi corrigida pela Apple em dezembro de 2022, mas pode ter sido explorada antes de ser corrigida, junto com outras vulnerabilidades. “Embora não haja nenhuma indicação clara de que as mesmas vulnerabilidades foram exploradas anteriormente, é bem possível”, disse o porta-voz.
Os investigadores da Kaspersky afirmaram que descobriram o ataque quando repararam em “atividade suspeita proveniente de vários telemóveis com iOS”, enquanto monitorizavam a sua própria rede Wi-Fi empresarial. Van Horn disse que os ciberataques foram descobertos “no início deste ano”.
A empresa chamou a este alegado hack contra os seus próprios empregados “Operação Triangulação” e criou um logótipo para o efeito.
Os investigadores da Kaspersky disseram que criaram cópias de segurança offline dos iPhones visados e inspecionaram-nos com uma ferramenta desenvolvida pela Amnistia Internacional chamada Mobile Verification Toolkit, ou MVT, que lhes permitiu descobrir “vestígios de compromisso”. Os pesquisadores não disseram quando descobriram o ataque, e disseram que encontraram vestígios dele desde 2019 e que “o ataque está em andamento, e a versão mais recente dos dispositivos visados com sucesso é iOS 15.7.”
Embora o malware tenha sido projetado para limpar os dispositivos infetados e remover vestígios de si mesmo, “é possível identificar de forma confiável se o dispositivo foi comprometido”, escreveram os pesquisadores.
No relatório, os pesquisadores explicaram passo a passo como analisaram os dispositivos comprometidos, descrevendo como outros podem fazer o mesmo. No entanto, não incluíram muitos pormenores sobre o que descobriram com este processo.
Os pesquisadores disseram que a presença de “linhas de uso de dados mencionando o processo chamado ‘BackupAgent'”, foi o sinal mais confiável de que um iPhone foi hackeado, e que outro dos sinais foi que os iPhones comprometidos não podiam instalar atualizações do iOS.
“Observámos que as tentativas de atualização terminavam com a mensagem de erro ‘Falha na atualização de software. Ocorreu um erro ao descarregar o iOS'”, escreveram os investigadores.
A empresa também publicou uma série de URLs que foram usados na operação, incluindo alguns com nomes como Unlimited Teacup e Backup Rabbit.
A Russian Computer Emergency Response Team (CERT), uma organização governamental que partilha informações sobre ciberataques, publicou um aviso sobre o ciberataque, juntamente com os mesmos domínios mencionados pela Kaspersky.
Numa declaração separada, o Serviço Federal de Segurança da Rússia (FSB) acusou os serviços secretos dos EUA – mencionando especificamente a NSA – de piratear “milhares” de telemóveis Apple com o objetivo de espiar diplomatas russos, de acordo com uma tradução online. O FSB também acusou a Apple de cooperar com os serviços secretos americanos. O FSB não apresentou provas das suas alegações.
“Nunca trabalhámos com nenhum governo para inserir uma porta traseira em qualquer produto, Apple e nunca o faremos”, disse o porta-voz da Apple, Scott Radcliffe, num e-mail.
A NSA não respondeu imediatamente a um pedido de comentário.
A descrição dos ataques pelo FSB ecoa o que a Kaspersky escreveu no seu relatório, mas não está claro se as duas operações estão conectadas.
“Embora não tenhamos detalhes técnicos sobre o que foi relatado pelo FSB até agora, o Centro Nacional de Coordenação de Incidentes Informáticos da Rússia (NCCCI) já declarou no seu alerta público que os indicadores de comprometimento são os mesmos”, disse Van Horn.
Além disso, a empresa recusou-se a atribuir a operação a qualquer governo ou grupo de hackers, dizendo que “a Kaspersky não faz atribuição política”.
“Não temos detalhes técnicos sobre o que foi relatado pelo FSB até agora, portanto, também não podemos fazer qualquer atribuição técnica. A julgar pelas características do ciberataque, não conseguimos associar esta campanha de ciberespionagem a qualquer agente de ameaça existente”, escreveu Van Horn.
O porta-voz disse ainda que a empresa contactou a Apple na quinta-feira de manhã, “antes de enviar o relatório aos CERT nacionais”.
O fundador da empresa, Eugene Kaspersky, escreveu no Twitter que “estão bastante confiantes de que a Kaspersky não foi o principal alvo deste ciberataque”, prometendo “mais clareza e mais pormenores” nos próximos dias.
Yesterday, we told you about #iOSTriangulation. Today, we've got the tools to help you see if you are infected:@securelist blog: https://t.co/GTh8brffzs@github: https://t.co/2UFiL7cFue
— Eugene Kaspersky (@e_kaspersky) June 2, 2023
