L'équipe de recherche et d'analyse mondiale (GReAT) de Kaspersky a révélé la suite de son enquête sur la fameuse opération Triangulation lors du récent Security Analyst Summit. L'équipe a présenté de nouveaux détails concernant les vulnérabilités des systèmes iOS et les failles qui ont permis cette attaque, fournissant une analyse de la campagne qui a ciblé à la fois le public et les employés de Kaspersky.
Au début de l'été, Kaspersky a découvert une campagne APT ciblant les appareils iOS. Baptisée « Operation Triangulation », cette campagne emploie une méthode sophistiquée pour distribuer des exploits zéro-clic via iMessage, pour finalement prendre le contrôle complet de l'appareil et des données de l'utilisateur. Les experts du GReAT de Kaspersky ont déterminé que l'objectif principal des agents malveillants pouvait être de surveiller les utilisateurs visés en cachette, y compris de membres du personnel de Kaspersky. En raison de la complexité de l'attaque et de la nature fermée de l'écosystème iOS, une équipe dédiée a consacré beaucoup de temps et de ressources à la réalisation d'une analyse technique détaillée.
Lors du Security Analyst Summit, les experts de l'entreprise ont dévoilé les détails de la chaîne d'attaque qui a tiré parti de cinq vulnérabilités, dont quatre vulnérabilités zero-day inconnues jusqu'alors, qui ont été corrigées une fois que les chercheurs de Kaspersky les ont soumises à Apple.
Les chercheurs ont identifié un premier point d'entrée par l’intermédiaire d'une vulnérabilité de la bibliothèque de traitement des polices de caractère. Le second, une vulnérabilité extrêmement puissante et facilement exploitable dans le code de mappage de la mémoire, a permis aux acteurs de la menace d'accéder à la mémoire physique de l'appareil. En outre, les attaquants ont exploité deux autres vulnérabilités pour contourner les fonctions de sécurité matérielle du dernier processeur Apple. Les chercheurs ont également découvert qu’en plus de la capacité d'infecter les appareils Apple à distance via iMessage sans action de l'utilisateur, les attaquants ont également disposé d'une plateforme pour mener des attaques via le navigateur web Safari. Cela a conduit à la détection et à la correction d'une cinquième vulnérabilité.
L'équipe d'Apple a officiellement publié des mises à jour de sécurité qui corrigent les quatre vulnérabilités "zero-day" découvertes par les chercheurs de Kaspersky (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990). Ces vulnérabilités affectent un large éventail de produits Apple, notamment les iPhones, les iPods, les iPads, les appareils macOS, l'Apple TV et l'Apple Watch.
« Les fonctions de sécurité matérielle des appareils équipés de puces Apple plus récentes renforcent considérablement leur résistance aux cyberattaques. Mais ils ne sont pas immunisés pour autant. L'opération Triangulation rappelle qu'il faut faire preuve de prudence lorsqu'on manipule des pièces jointes iMessage provenant de sources inconnues. Les stratégies employées dans le cadre de l'opération Triangulation nous fournissent des indications précieuses, et nous rappellent que trouver un équilibre entre la confidentialité et l'accessibilité du système peut contribuer à améliorer la sécurité », commente Boris Larin, chercheur principal en sécurité au GReAT de Kaspersky.
Si les victimes au sein de Kaspersky incluent des cadres supérieurs et intermédiaires de l'entreprise ainsi que des chercheurs basés en Russie, en Europe et dans la région META, l'entreprise n'étant pas l’unique cible de l'attaque.
Parallèlement à la publication du rapport et au développement d'un programme spécialisé triangle_check, les experts du GReAT ont créé une adresse électronique afin que toute personne intéressée puisse contribuer à l'enquête. Les experts ont ainsi reçu la confirmation que d’autres personnes avaient été victimes de l'opération Triangulation et ont fourni à ces victimes des conseils pour renforcer leurs dispositifs de sécurité.
« Sécuriser les systèmes contre les cyberattaques avancées n'est pas une tâche facile, et c'est encore plus compliqué dans des systèmes fermés comme iOS. C'est pourquoi il est si important de mettre en œuvre des mesures de sécurité multicouches pour détecter et prévenir de telles attaques », commente Igor Kuznetsov, Directeur de l'équipe de recherche et d'analyse mondiale de Kaspersky.
Pour en savoir plus sur l'opération Triangulation, consultez Securelist. Kaspersky fera prochainement la lumière sur d'autres détails techniques, en fournissant des descriptions détaillées de son analyse sur le site Web.
Afin d'éviter d'être victime d'une attaque ciblée par un acteur de menace connu ou inconnu, les chercheurs de Kaspersky recommandent de mettre en œuvre les mesures suivantes :
● Mettez régulièrement à jour votre système d'exploitation, vos applications et votre logiciel antivirus afin de corriger les vulnérabilités connues.
● Méfiez-vous des mails, messages ou appels vous demandant des informations sensibles. Vérifiez l'identité de l'expéditeur avant de communiquer des informations personnelles ou de cliquer sur des liens suspects.
● Donnez à votre équipe SOC l'accès aux dernières informations sur les menaces (TI). Le portail Kaspersky Threat Intelligence Portal est un point d'accès unique aux renseignements sur les menaces de l'entreprise, qui fournit des données sur les cyberattaques et des informations recueillies par Kaspersky depuis plus de 20 ans.
● Améliorez les compétences de votre équipe de cybersécurité pour qu'elle puisse faire face aux dernières menaces ciblées grâce à la formation en ligne Kaspersky développée par les experts de GReAT.
● Pour la détection au niveau des points d'accès, l'investigation et la remédiation rapide des incidents, mettez en œuvre des solutions EDR telles que Kaspersky Endpoint Detection and Response.