Quattro anni bombardati da attacchi Malware | Alcuni di questi potreste averli avuti anche voi

L’azienda di sicurezza Kaspersky, con sede a Mosca, è stata colpita da un attacco informatico avanzato in grado di infettare gli iPhone di decine di dipendenti.

Secondo i responsabili dell’azienda, il malware – che infetta sfruttando gli exploit clickless – colpisce solamente gli iPhone, e può raccogliere registrazioni del microfono, foto, geolocalizzazione e altri dati sensibili.

Dipendente di Kaspersky rimane scioccato guardando il proprio computer.

Gli iPhone dei dipendenti di Kaspersky sono stati infettati con un malware mai visto prima

In un rapporto pubblicato il 1° giugno, Kaspersky ha dichiarato che all’inizio dell’anno ha rilevato attacchi mirati contro un gruppo di iPhone dopo aver analizzato il traffico della rete aziendale. Nello specifico, i ricercatori di Kaspersky hanno scoperto una campagna di attacchi mirati e persistenti, portati avanti da hacker dotati di notevole expertise tecnico e grandi risorse (APT), che ha come obiettivo i dispositivi iOS.

La campagna denominata Operation Triangulation, il cui inizio sembra risalire addirittura al 2019, utilizza gli exploit zero-click per infettare i dispositivi tramite l’applicazione iMessage. Il nome Operation Triangulation deriva dal fatto che il malware utilizza una tecnica nota come canvas fingerprinting per scoprire l’hardware e il software di cui è dotato un telefono. Durante questo processo, il malware “disegna un triangolo giallo nella memoria del dispositivo”.

iMessage è il “cavallo di Troia” del malware

Una volta infettato l’iPhone, il malware offre ai criminali informatici il controllo completo sul dispositivo e sui dati dell’utente. Eugene Kaspersky, fondatore dell’azienda, ha dichiarato: “Siamo abbastanza sicuri che Kaspersky non sia stato l’obiettivo principale di questo cyberattacco. I prossimi giorni porteranno maggiore chiarezza e ulteriori dettagli sulla proliferazione mondiale dello spyware”.

La prima fase di “Operation Triangulation” prevede l’invio alla vittima di un allegato iMessage dannoso. L’allegato sembra essere un file legittimo, come un PDF o un’immagine. Una volta inviato, il malware viene installato automaticamente: non serve neanche aprire o ispezionare il messaggio.

Il malware utilizza quindi un exploit zero-click per dare agli hacker i privilegi da amministratore sul dispositivo dell’obiettivo. Ciò significa che, una volta inviato il messaggio, l’aggressore può fare tutto ciò che vuole: compreso il furto di dati, l’installazione di altri malware o il controllo totale del dispositivo da remoto.

“L’attacco avviene tramite un iMessage invisibile con un allegato dannoso che, sfruttando una serie di vulnerabilità del sistema operativo iOS, viene eseguito sul dispositivo e installa uno spyware. La distribuzione dello spyware è completamente nascosta e non richiede alcuna azione da parte dell’utente. Inoltre, lo spyware trasmette silenziosamente informazioni private a server remoti: registrazioni del microfono, foto da messaggeria istantanea, geolocalizzazione e dati su una serie di altre attività del proprietario del dispositivo infetto.”

Quattro anni di continui attacchi hacker

Kaspersky afferma che il malware scoperto non può persistere su un dispositivo una volta riavviato, ma i ricercatori dicono di aver trovato prove di reinfezione in alcuni casi. L’esatta natura delle vulnerabilità utilizzate nella catena di exploit rimane poco chiara, anche se Kaspersky afferma che una delle falle è probabilmente una vecchia vulnerabilità che Apple ha patchato a dicembre.

“A causa delle peculiarità del blocco degli aggiornamenti di iOS sui dispositivi infetti, non abbiamo ancora trovato un modo efficace per rimuovere lo spyware senza perdere i dati dell’utente. Questo può essere fatto solo resettando gli iPhone infetti alle impostazioni di fabbrica, installando l’ultima versione del sistema operativo e l’intero ambiente utente da zero. Anche se lo spyware viene eliminato dalla memoria del dispositivo dopo un riavvio, Triangulation è ancora in grado di reinfettare attraverso le vulnerabilità di una versione obsoleta di iOS”.

Questa serie di attacchi malware, che hanno colpito i dipendenti Kaspersky per almeno quattro anni, sono stati descritti dall’azienda come una “piattaforma APT completa”. APT è l’abbreviazione di “advanced persistent threat”, ovvero minaccia persistente avanzata, e si riferisce ad un’organizzazione di operatori con risorse praticamente illimitate – quasi sempre sostenute dai governi nazionali – che prendono di mira individui specifici per lunghi periodi di tempo.

La Russia accusa Apple di collusione con la NSA

Riguardo questa serie di attacchi ai danni di Kaspersky, il Servizio Federale di Sicurezza russo (FSB), ha affermato tramite un post di aver “scoperto un’operazione di ricognizione da parte dei servizi segreti americani effettuata utilizzando dispositivi mobili Apple”. Nel corso di un normale monitoraggio della sicurezza, hanno scoperto che “diverse migliaia di apparecchi telefonici” erano stati infettati. Il post accusava Apple di aver contribuito alla presunta operazione della National Security Agency.

“Le informazioni ricevute dai servizi segreti russi testimoniano la stretta collaborazione dell’azienda americana Apple con la comunità dei servizi segreti nazionali, in particolare con la NSA statunitense, e confermano che la politica dichiarata di garantire la riservatezza dei dati personali degli utenti dei dispositivi Apple non è vera”. Detto questo, c’è da dire che la dichiarazione dell’FSB non è stata accompagnata da alcun dettaglio tecnico, né da alcuna prova che Apple vi abbia collaborato.

Operatori della sicurezza nazionale americana che lavora al pc.

In risposta a queste pesanti accuse, un rappresentante di Apple ha negato la maliziosa collaborazione, affermando che: “Non abbiamo mai collaborato con nessun governo per inserire una backdoor in un prodotto Apple e mai lo faremo”. Nonostante la risposta di Apple, storia, sono in molti a concordare che l’elevata complessità del malware, suggerisce che, per quanto le affermazioni dell’FSB possano sembrare assurde, ci sono buone ragioni per immaginare che gli hacker che hanno attaccato Kaspersky possano essere legati ad un operazione governativa.

“Siamo ben consapevoli di lavorare in un ambiente molto aggressivo e abbiamo sviluppato adeguate procedure di risposta agli incidenti”, ha scritto Eugene Kaspersky nel post di giovedì: “grazie alle misure adottate, l’azienda sta operando normalmente, i processi aziendali e i dati degli utenti non sono stati colpiti e la minaccia è stata neutralizzata”.

Fonti: Wired

Quattro anni bombardati da attacchi Malware | Alcuni di questi potreste averli avuti anche voi

Gli iPhone dei dipendenti di Kaspersky sono stati infettati con un malware mai visto prima

iMessage è il “cavallo di Troia” del malware

Quattro anni di continui attacchi hacker

La Russia accusa Apple di collusione con la NSA

Discord si arricchisce ancora: ecco l’integrazione con Roll20

C’è un gioco che prova a puntare tutto sulle Ai | I giocatori lo boicottano

Ecco tutto quello che c’è dentro il nuovo aggiornamento PS5 di Aprile 2024

Tuffati a capofitto nella zona contaminata con la S.P.E.C.I.A.L Anthology dedicata a Fallout

Con questa moneta da 2€ ti paghi le vacanze | La più ricercata dai collezionisti

Sand Land | Recensione (PS5) | Un sentito omaggio a un grande autore

Stellar Blade | Recensione (PS5) | Per la salvezza dell’umanita!

Children Of The Sun | Recensione (PC) | Un proiettile per eradicarli tutti