Los investigadores de Kaspersky identificaron en dispositivos de sus empleados una nueva campaña de amenaza persistente avanzada (APT, por sus siglas en inglés) móvil dirigida a equipos iOS con malware previamente desconocido.
La “Operación Triangulación”, como la empresa denominó, fue descubierta mientras sus expertos monitoreaban el tráfico de su red wifi corporativa. Tras un análisis profundo, encontraron que el actor de amenazas había apuntado a los dispositivos iOS de docenas de empleados de Kaspersky.
En un comunicado, la firma de ciberseguridad afirmó que durante el análisis, se confirmó que no hubo impacto en los productos, tecnologías y servicios de la empresa, y que no se vieron afectados los datos de los usuarios de los clientes, ni los procesos críticos.
Los atacantes, agregó, solo podían acceder a los datos almacenados en los dispositivos infectados. Kaspersky dijo que son los primeros en descubrir esta APT y, aunque aún no lo confirma, posiblemente el ataque no estaba dirigido específicamente a Kaspersky.
¿Cómo funciona Operación Triangulación?
Operación Triangulación distribuye exploits, sin la necesidad de acción alguna por parte de la víctima, a través de la aplicación de mensajes de Apple, iMessage, para ejecutar malware y obtener control total sobre los dispositivos y datos de los usuarios, con el objetivo de espiarlos de forma silenciosa.
La víctima recibe un mensaje con un archivo adjunto que contiene un exploit de clic cero. Sin más interacción, desencadena una vulnerabilidad que ejecuta un código para escalar privilegios y proporcionar control total sobre el dispositivo infectado.
Una vez que el atacante establece con éxito su presencia en el dispositivo, el mensaje se elimina automáticamente.
Además, el software espía transmite silenciosamente información privada a servidores remotos: incluidas grabaciones de micrófonos, fotos de mensajeros instantáneos, geolocalización y datos sobre otras actividades del propietario del dispositivo infectado.
Investigación sigue en curso
Kaspersky publicó un informe técnico en el que explicó que dado que es imposible inspeccionar los dispositivos iOS modernos desde el interior, los investigadores crearon copias de seguridad fuera de línea de los dispositivos en cuestión.
los investigadores narran en el reporte que las inspeccionaron con mvt-ios de Mobile Verification Toolkit y descubrieron “rastros del compromiso”.
El jefe del Equipo Global de Investigación y Análisis (GReAT) para EMEA de Kaspersky, Igor Kuznetsov, señaló que “cuando se trata de ciberseguridad, incluso los sistemas operativos más seguros pueden verse comprometidos”.
Dado que los actores de APT evolucionan sus tácticas constantemente y buscan nuevas debilidades para explotar, las organizaciones deben priorizar la seguridad de sus sistemas, dijo.
“Nuestra investigación de la Operación Triangulación continúa. Anticipamos que más detalles se darán a conocer pronto, ya que puede haber objetivos de esta operación de espionaje fuera de Kaspersky”.