APT

TriangleDB : l’implant du logiciel espion de l’opération Triangulation

Les opérateurs d’APT s’intéressent de plus en plus aux appareils mobiles. Nos experts ont étudié un de leurs outils.

Kaspersky Team
29 Juin 2023

Nos technologies ont récemment détecté une nouvelle attaque persistante sophistiquée (APT) qui cible les iPhones. Cette attaque fait partie d’une campagne qui vise, entre autres, les employés de Kaspersky. Des cybercriminels anonymes ont exploité une vulnérabilité du noyau iOS pour déployer l’implant d’un logiciel espion nommé TriangleDB dans la mémoire de l’appareil. Nos experts ont pu examiner cet implant en détail.

De quoi l’implant TriangleDB est-il capable ?

L’analyse de cet implant n’a pas été facile puisqu’il ne fonctionne que dans la mémoire du téléphone et ne laisse aucune trace dans le système. De plus, le redémarrage supprime complètement toutes les traces d’attaque et le programme malveillant dispose d’un temporisateur d’autodestruction qui s’active automatiquement 30 jours après l’infection initiale (si les opérateurs ont décidé de ne pas envoyer d’ordre pour prolonger son temps de travail). Certaines des fonctionnalités de base de l’implant sont les suivantes :

Manipulation des fichiers (création, modification, suppression et exfiltration) ;
Manipulation des processus d’exécution (obtenir une liste et mettre fin aux processus) ;
Exfiltration des éléments du trousseau d’iOS, qui contient les certificats, les identités numériques et/ou les identifiants de divers services ;
Partage des données de géolocalisation, dont les coordonnées, l’altitude, la vitesse et la direction des mouvements.

L’implant peut charger des modules supplémentaires dans la mémoire du téléphone et les exécute. Si vous souhaitez connaître les détails techniques de l’implant, nous vous invitons à lire cet article publié sur le blog de Securelist (destiné aux experts en cybersécurité).

Les attaques APT et les appareils mobiles

Dernièrement, les ordinateurs personnels traditionnels ont été la cible principale des attaques APT. Pourtant, les appareils mobiles modernes sont désormais comparables aux ordinateurs de bureau en termes de performance et de fonctionnalité. Ils sont utilisés pour interagir avec des informations professionnelles sensibles, pour conserver des secrets personnels et professionnels, et pour accéder aux services en lien avec l’activité professionnelle. Ainsi, les groupes d’APT font beaucoup d’efforts pour concevoir des attaques qui s’en prennent aux systèmes d’exploitation mobiles.

Évidemment, Triangulation n’est pas la première attaque qui cible les appareils iOS. Tout le monde se souvient du tristement célèbre (et malheureusement encore actif) logiciel espion commercial Pegasus. On trouve d’autres exemples, dont Insomnia, Predator, Reign, etc. Il n’est pas surprenant que les groupes d’APT s’intéressent aussi au système d’exploitation Android. Les médias ont récemment parlé d’une attaque lancée par le groupe d’APT « Transparent Tribe » qui a utilisé la porte dérobée CapraRAT contre les utilisateurs indiens et pakistanais de ce système. Au cours du troisième trimestre de l’année dernière, nous avons découvert qu’un logiciel espion jusqu’alors inconnu ciblait les utilisateurs qui parlent farsi.

Tout cela montre que, de nos jours, pour protéger une entreprise contre les attaques APT, il est essentiel d’assurer la sécurité du matériel fixe, dont les serveurs et les postes de travail, et des appareils mobiles utilisés dans les processus de travail.

Comment augmenter vos chances face aux attaques APT

Ce serait une erreur de croire que les technologies de protection par défaut proposées par les fabricants des appareils sont suffisantes pour protéger les appareils mobiles. L’incident de l’opération Triangulation a clairement montré que même les technologies d’Apple ne sont pas parfaites. Ainsi, nous conseillons aux entreprises de toujours utiliser un système de protection à plusieurs niveaux, avec notamment les outils appropriés qui contrôlent les appareils mobiles et des systèmes qui surveillent leurs interactions avec le réseau.

La première ligne de défense devrait être une solution de gestion des appareils mobiles. Notre programme Endpoint Security for Mobile offre une gestion centralisée de la sécurité des appareils mobiles via notre console d’administration Kaspersky Security Center. De plus, notre solution protège l’infrastructure contre l’hameçonnage, les menaces Web et les programmes malveillants (seulement pour Android puisque Apple interdit malheureusement les antivirus de tiers).

Cette solution emploie notamment la technologie Cloud ML for Android qui détecte les programmes malveillants liés à Android. Cette technologie fonctionne sur le Cloud KSN et repose sur des méthodes d’apprentissage automatique. Ce modèle, formé à partir de millions d’échantillons de programmes malveillants Android connus, arrive même à détecter avec une très grande précision les programmes malveillants inconnus.

D’autre part, les acteurs de menace utilisent de plus en plus les plateformes mobiles lors d’attaques ciblées sophistiquées. Il est donc logique d’utiliser un système capable de surveiller l’activité du réseau, qu’il s’agisse d’un outil de gestion des événements et des informations de sécurité (SIEM), ou de tout autre outil qui donne à vos experts les moyens de gérer les incidents de cybersécurité complexes avec une détection et une réponse étendues inégalées, comme Kaspersky Anti Targeted Attack Platform.

L’opération Triangulation susmentionnée a été découverte par nos experts alors qu’ils surveillaient un réseau Wi-Fi professionnel à l’aide de notre système SIEM Kaspersky Unified Monitoring and Analysis Platform (KUMA). De plus, nos solutions de Threat Intelligence peuvent fournir aux systèmes de sécurité et aux experts des informations actualisées sur les nouvelles menaces ainsi que sur les techniques, les astuces et les procédures utilisées par les cybercriminels.

Types d’authentification à deux facteurs : pour et contre

Quels sont les types d’authentification à deux facteurs et lesquels faut-il privilégier ?

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Comment distinguer une photo ou vidéo réelle d’un trucage et retracer sa provenance.

Passer à Kaspersky : guide de migration pas à pas

Comment faire passer la cyberprotection de votre ordinateur ou de votre smartphone à la solution de sécurité la plus primée de Kaspersky ?

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Vous avez reçu un message inattendu de la part de votre patron ou d’un collègue qui vous demande de « régler un problème » ? Attention aux escrocs ! Comment pouvez-vous vous protéger, vous et votre entreprise, contre une attaque potentielle ?

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Protection des enfants

TriangleDB : l’implant du logiciel espion de l’opération Triangulation

De quoi l’implant TriangleDB est-il capable ?

Les attaques APT et les appareils mobiles

Comment augmenter vos chances face aux attaques APT

Security Analyst Summit 2023 : les recherches clés

Contournement de la protection MotW

Types d’authentification à deux facteurs : pour et contre

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Passer à Kaspersky : guide de migration pas à pas

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Assurer la sécurité du domicile

Abonnez-vous et recevez tous nos titres à la une par e-mail

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky