{"id":20761,"date":"2023-06-29T16:40:14","date_gmt":"2023-06-29T14:40:14","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=20761"},"modified":"2023-06-29T16:40:14","modified_gmt":"2023-06-29T14:40:14","slug":"triangledb-mobile-apt","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/triangledb-mobile-apt\/20761\/","title":{"rendered":"TriangleDB : l&rsquo;implant du logiciel espion de l&rsquo;op\u00e9ration Triangulation"},"content":{"rendered":"<p>Nos technologies <a href=\"https:\/\/www.kaspersky.fr\/blog\/triangulation-attack-on-ios\/20644\/\" target=\"_blank\" rel=\"nofollow noopener\">ont r\u00e9cemment d\u00e9tect\u00e9<\/a> une nouvelle attaque persistante sophistiqu\u00e9e (APT) qui cible les iPhones. Cette attaque fait partie d\u2019une campagne qui vise, entre autres, les employ\u00e9s de Kaspersky. Des cybercriminels anonymes ont exploit\u00e9 une vuln\u00e9rabilit\u00e9 du noyau iOS pour d\u00e9ployer l\u2019implant d\u2019un logiciel espion nomm\u00e9 TriangleDB dans la m\u00e9moire de l\u2019appareil. Nos experts ont pu examiner cet implant en d\u00e9tail.<\/p>\n<h2>De quoi l\u2019implant TriangleDB est-il capable ?<\/h2>\n<p>L\u2019analyse de cet implant n\u2019a pas \u00e9t\u00e9 facile puisqu\u2019il ne fonctionne que dans la m\u00e9moire du t\u00e9l\u00e9phone et ne laisse aucune trace dans le syst\u00e8me. De plus, le red\u00e9marrage supprime compl\u00e8tement toutes les traces d\u2019attaque et le programme malveillant dispose d\u2019un temporisateur d\u2019autodestruction qui s\u2019active automatiquement 30 jours apr\u00e8s l\u2019infection initiale (si les op\u00e9rateurs ont d\u00e9cid\u00e9 de ne pas envoyer d\u2019ordre pour prolonger son temps de travail). Certaines des fonctionnalit\u00e9s de base de l\u2019implant sont les suivantes\u00a0:<\/p>\n<ul>\n<li>Manipulation des fichiers (cr\u00e9ation, modification, suppression et exfiltration)\u00a0;<\/li>\n<li>Manipulation des processus d\u2019ex\u00e9cution (obtenir une liste et mettre fin aux processus)\u00a0;<\/li>\n<li>Exfiltration des \u00e9l\u00e9ments du trousseau d\u2019iOS, qui contient les certificats, les identit\u00e9s num\u00e9riques et\/ou les identifiants de divers services\u00a0;<\/li>\n<li>Partage des donn\u00e9es de g\u00e9olocalisation, dont les coordonn\u00e9es, l\u2019altitude, la vitesse et la direction des mouvements.<\/li>\n<\/ul>\n<p>L\u2019implant peut charger des modules suppl\u00e9mentaires dans la m\u00e9moire du t\u00e9l\u00e9phone et les ex\u00e9cute. Si vous souhaitez conna\u00eetre les d\u00e9tails techniques de l\u2019implant, nous vous invitons \u00e0 lire <a href=\"https:\/\/securelist.com\/triangledb-triangulation-implant\/110050\/\" target=\"_blank\" rel=\"nofollow noopener\">cet article<\/a> publi\u00e9 sur le blog de Securelist (destin\u00e9 aux experts en cybers\u00e9curit\u00e9).<\/p>\n<h2>Les attaques APT et les appareils mobiles<\/h2>\n<p>Derni\u00e8rement, les ordinateurs personnels traditionnels ont \u00e9t\u00e9 la cible principale des attaques APT. Pourtant, les appareils mobiles modernes sont d\u00e9sormais comparables aux ordinateurs de bureau en termes de performance et de fonctionnalit\u00e9. Ils sont utilis\u00e9s pour interagir avec des informations professionnelles sensibles, pour conserver des secrets personnels et professionnels, et pour acc\u00e9der aux services en lien avec l\u2019activit\u00e9 professionnelle. Ainsi, les groupes d\u2019APT font beaucoup d\u2019efforts pour concevoir des attaques qui s\u2019en prennent aux syst\u00e8mes d\u2019exploitation mobiles.<\/p>\n<p>\u00c9videmment, Triangulation n\u2019est pas la premi\u00e8re attaque qui cible les appareils iOS. Tout le monde se souvient du tristement c\u00e9l\u00e8bre (et malheureusement encore actif) logiciel espion commercial <a href=\"https:\/\/www.kaspersky.fr\/blog\/how-to-protect-from-pegasus-spyware\/18515\/\" target=\"_blank\" rel=\"nofollow noopener\">Pegasus<\/a>. On trouve d\u2019autres exemples, dont Insomnia, Predator, Reign, etc. Il n\u2019est pas surprenant que les groupes d\u2019APT s\u2019int\u00e9ressent aussi au syst\u00e8me d\u2019exploitation Android. Les m\u00e9dias <a href=\"https:\/\/thehackernews.com\/2023\/04\/pakistan-based-transparent-tribe.html\" target=\"_blank\" rel=\"nofollow noopener\">ont r\u00e9cemment parl\u00e9 d\u2019une attaque<\/a> lanc\u00e9e par le groupe d\u2019APT \u00ab\u00a0Transparent Tribe\u00a0\u00bb qui a utilis\u00e9 la porte d\u00e9rob\u00e9e CapraRAT contre les utilisateurs indiens et pakistanais de ce syst\u00e8me. Au cours du troisi\u00e8me trimestre de l\u2019ann\u00e9e derni\u00e8re, <a href=\"https:\/\/securelist.com\/apt-trends-report-q3-2022\/107787\/\" target=\"_blank\" rel=\"nofollow noopener\">nous avons d\u00e9couvert<\/a> qu\u2019un logiciel espion jusqu\u2019alors inconnu ciblait les utilisateurs qui parlent farsi.<\/p>\n<p>Tout cela montre que, de nos jours, pour prot\u00e9ger une entreprise contre les attaques APT, il est essentiel d\u2019assurer la s\u00e9curit\u00e9 du mat\u00e9riel fixe, dont les serveurs et les postes de travail, et des appareils mobiles utilis\u00e9s dans les processus de travail.<\/p>\n<h2>Comment augmenter vos chances face aux attaques APT<\/h2>\n<p>Ce serait une erreur de croire que les technologies de protection par d\u00e9faut propos\u00e9es par les fabricants des appareils sont suffisantes pour prot\u00e9ger les appareils mobiles. L\u2019incident de l\u2019op\u00e9ration Triangulation a clairement montr\u00e9 que m\u00eame les technologies d\u2019Apple ne sont pas parfaites. Ainsi, nous conseillons aux entreprises de toujours utiliser un syst\u00e8me de protection \u00e0 plusieurs niveaux, avec notamment les outils appropri\u00e9s qui contr\u00f4lent les appareils mobiles et des syst\u00e8mes qui surveillent leurs interactions avec le r\u00e9seau.<\/p>\n<p>La premi\u00e8re ligne de d\u00e9fense devrait \u00eatre une solution de gestion des appareils mobiles. Notre programme <a href=\"https:\/\/www.kaspersky.fr\/small-to-medium-business-security?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Endpoint Security for Mobile<\/a> offre une gestion centralis\u00e9e de la s\u00e9curit\u00e9 des appareils mobiles via notre console d\u2019administration Kaspersky Security Center. De plus, notre solution prot\u00e8ge l\u2019infrastructure contre l\u2019hame\u00e7onnage, les menaces Web et les programmes malveillants (seulement pour Android puisque Apple interdit malheureusement les antivirus de tiers).<\/p>\n<p>Cette solution emploie notamment la technologie <a href=\"https:\/\/www.kaspersky.com\/enterprise-security\/wiki-section\/products\/kaspersky-security-network\" target=\"_blank\" rel=\"nofollow noopener\">Cloud ML for Android<\/a> qui d\u00e9tecte les programmes malveillants li\u00e9s \u00e0 Android. Cette technologie fonctionne sur le Cloud KSN et repose sur des m\u00e9thodes d\u2019apprentissage automatique. Ce mod\u00e8le, form\u00e9 \u00e0 partir de millions d\u2019\u00e9chantillons de programmes malveillants Android connus, arrive m\u00eame \u00e0 d\u00e9tecter avec une tr\u00e8s grande pr\u00e9cision les programmes malveillants inconnus.<\/p>\n<p>D\u2019autre part, les acteurs de menace utilisent de plus en plus les plateformes mobiles lors d\u2019attaques cibl\u00e9es sophistiqu\u00e9es. Il est donc logique d\u2019utiliser un syst\u00e8me capable de surveiller l\u2019activit\u00e9 du r\u00e9seau, qu\u2019il s\u2019agisse d\u2019un outil de gestion des \u00e9v\u00e9nements et des informations de s\u00e9curit\u00e9 (SIEM), ou de tout autre outil qui donne \u00e0 vos experts les moyens de g\u00e9rer les incidents de cybers\u00e9curit\u00e9 complexes avec une d\u00e9tection et une r\u00e9ponse \u00e9tendues in\u00e9gal\u00e9es, comme <a href=\"https:\/\/www.kaspersky.fr\/enterprise-security\/anti-targeted-attack-platform?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Anti Targeted Attack Platform<\/a>.<\/p>\n<p>L\u2019op\u00e9ration Triangulation susmentionn\u00e9e a \u00e9t\u00e9 d\u00e9couverte par nos experts alors qu\u2019ils surveillaient un r\u00e9seau Wi-Fi professionnel \u00e0 l\u2019aide de notre syst\u00e8me SIEM Kaspersky Unified Monitoring and Analysis Platform (KUMA). De plus, nos solutions de <a href=\"https:\/\/www.kaspersky.fr\/enterprise-security\/threat-intelligence?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Threat Intelligence<\/a> peuvent fournir aux syst\u00e8mes de s\u00e9curit\u00e9 et aux experts des informations actualis\u00e9es sur les nouvelles menaces ainsi que sur les techniques, les astuces et les proc\u00e9dures utilis\u00e9es par les cybercriminels.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"19118\">\n","protected":false},"excerpt":{"rendered":"<p>Les op\u00e9rateurs d\u2019APT s\u2019int\u00e9ressent de plus en plus aux appareils mobiles. Nos experts ont \u00e9tudi\u00e9 un de leurs outils.<\/p>\n","protected":false},"author":2706,"featured_media":20762,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[498,165,17,244,3522],"class_list":{"0":"post-20761","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-apt","10":"tag-ios","11":"tag-iphone","12":"tag-mdm","13":"tag-siem"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/triangledb-mobile-apt\/20761\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/triangledb-mobile-apt\/25842\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/triangledb-mobile-apt\/21283\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/triangledb-mobile-apt\/28540\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/triangledb-mobile-apt\/26141\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/triangledb-mobile-apt\/26468\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/triangledb-mobile-apt\/28946\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/triangledb-mobile-apt\/35612\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/triangledb-mobile-apt\/48471\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/triangledb-mobile-apt\/21469\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/triangledb-mobile-apt\/30279\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/triangledb-mobile-apt\/32151\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/triangledb-mobile-apt\/31835\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20761","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=20761"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20761\/revisions"}],"predecessor-version":[{"id":20763,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20761\/revisions\/20763"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/20762"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=20761"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=20761"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=20761"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}