Posté le juin 2, 2023 à 6:51

KASPERSKY VICTIME D’UNE CYBERATTAQUE AVANCÉE QUI A INFECTÉ LES IPHONES DE SES EMPLOYÉS

Kaspersky, une société de sécurité basée à Moscou, a été la cible d’une cyberattaque avancée. La cyberattaque a infecté les iPhones appartenant à plusieurs dizaines d’employés à l’aide d’un logiciel malveillant qui récolte les données des utilisateurs.

Kaspersky est victime d’une cyberattaque avancée

Le fondateur de Kaspersky, Eugene Kaspersky, a déclaré que l’entreprise était convaincue de ne pas être la cible principale de l’attaque de piratage. Il a ajouté qu’il y aurait plus de clarté et de détails supplémentaires sur la prolifération mondiale de ces attaques de piratage dans les jours à venir.

Certains responsables au sein du Centre national Russe de coordination des incidents informatiques ont déclaré que ces attaques faisaient partie d’une campagne plus vaste menée par l’Agence nationale de sécurité Américaine, infectant les iPhones appartenant à des diplomates en Russie, en particulier ceux situés dans les pays de l’OTAN, en Chine, en Israël et dans les pays post-Soviétiques.

Le logiciel malveillant en question a ciblé les employés de Kaspersky pendant au moins quatre ans et a été déployé par le biais de messages sur iMessage. Ces messages étaient accompagnés d’un fichier malveillant qui exploitait un ou plusieurs bugs sans nécessiter d’action de la part du destinataire. Les chercheurs de Kaspersky ont noté que ces appareils étaient infectés par une « plateforme APT complète ».

Après l’installation du logiciel malveillant APT sur les appareils des utilisateurs, un premier message texte qui a déclenché la chaîne d’infection est supprimé. Kaspersky note que les attaquants ont opéré de manière furtive pour éviter d’être détectés, et qu’aucune action n’a été requise de la part de l’utilisateur. Le logiciel espion transmet les informations personnelles de l’appareil compromis à des serveurs distants.

« L’attaque est menée aussi discrètement que possible. Cependant, le fait de l’infection a été détecté par Kaspersky Unified Monitoring and Analysis Platform (KUMA), une solution SIEM native pour la gestion des informations et des événements ; le système a détecté une anomalie dans notre réseau en provenance des appareils Apple », a déclaré Kaspersky.

Kaspersky a ajouté que l’entreprise avait enquêté sur la question et s’était rendu compte que plusieurs dizaines d’iPhones appartenant à ses employés avaient été infectés par un nouveau logiciel espion très sophistiqué sur le plan technologique.

Les chercheurs de Kaspersky ont aussi indiqué que les premières traces d’infections par Triangulation remontaient à 2019. Les attaques étaient toujours en cours en juin 2023. L’un des exploits du mois dernier concernait la récente version 15.7 d’iOS, qui a été infiltrée avec succès. Kaspersky a également déclaré qu’il n’était pas clair si des vulnérabilités zero day étaient à l’origine de ces attaques.

On ne sait pas non plus si Kaspersky a détecté les infections avant la sortie d’iOS 16 ou si les téléphones Kaspersky ont continué à utiliser l’ancienne version. Un représentant de Kaspersky a affirmé que l’entreprise avait réussi à identifier l’une des nombreuses vulnérabilités exploitées par les auteurs de la menace, ajoutant qu’il s’agissait probablement de la CVE-2022-46690.

Cependant, l’activité de cyber-espionnage menée par les hackers et l’analyse complexe de la plateforme iOS ont nécessité des recherches plus approfondies afin d’obtenir plus de détails sur ce problème. Cependant, il a été déterminé que le logiciel malveillant ne peut pas atteindre la persistance car il ne survit pas aux redémarrages.

La Russie affirme qu’Apple collabore avec la NSA

Le récent rapport de Kaspersky intervient après que le Service fédéral de sécurité (FSB) a déclaré que le service de renseignement Américain avait détecté une opération de reconnaissance. Cette opération serait menée sur des appareils Apple. Le FSB vient d’accuser Apple de soutenir l’opération de la NSA.

Les fonctionnaires ont en outre déclaré que la politique d’Apple consistant à préserver la confidentialité des données des utilisateurs sur les appareils Apple n’était pas fondée. Toutefois, les fonctionnaires n’ont fourni aucune preuve de la collusion d’Apple avec la NSA.

Le Centre national Russe de coordination des incidents informatiques (NCCCI) a également publié un rapport qui semblait aller dans le sens des accusations du FSB à l’égard d’Apple. Le NCCCI a par ailleurs déclaré que les indicateurs de compromission étaient restés les mêmes.

Cependant, ce n’est pas la première fois que Kaspersky est ciblé avec succès dans une campagne APT. En 2014, l’entreprise a détecté un logiciel malveillant furtif qui a infecté son réseau pendant des mois tout en évitant d’être détecté. L’attaquant s’est donné beaucoup de mal pour dissimuler l’origine de l’infection.

La société de cybersécurité Kaspersky avait alors déclaré que le logiciel malveillant utilisé pour mener l’attaque était une version mise à jour de Duqu, détectée vers la fin de l’année 211. Le code du logiciel malveillant était dérivé de Stuxnet. Des preuves consécutives ont démontré que Duqu avait été utilisé pour espionner les efforts déployés par l’Iran pour créer du matériel nucléaire et pour surveiller les relations commerciales dans le pays.

Kaspersky a également admis que le secteur de la cybersécurité était devenu agressif et que l’entreprise utilisait désormais les bonnes procédures de réponse aux incidents. Il a ajouté que l’entreprise avait pris des mesures qui ont permis la reprise des activités normales.