La société russe de cybersécurité Kaspersky a déclaré que des pirates travaillant pour un gouvernement ont ciblé les iPhones de plusieurs dizaines d’employés avec des logiciels malveillants inconnus.
Jeudi, Kaspersky a annoncé la cyberattaque présumée et a publié un rapport technique l’analysant, dans lequel la société a admis que son analyse n’était pas encore terminée. La société a déclaré que les pirates, qui à ce stade sont inconnus, ont livré le logiciel malveillant avec un exploit sans clic via une pièce jointe iMessage, et que tous les événements se sont produits dans un délai d’une à trois minutes.
Le porte-parole de Kaspersky, Sawyer Van Horn, a déclaré dans un e-mail à TechCrunch que la société avait déterminé que l’une des vulnérabilités utilisées dans l’opération était connue et avait été corrigée par Apple en décembre 2022, mais qu’elle avait peut-être été exploitée avant d’être corrigée, ainsi que d’autres vulnérabilités. « Bien qu’il n’y ait aucune indication claire que les mêmes vulnérabilités aient été exploitées auparavant, c’est tout à fait possible », a déclaré le porte-parole.
Les chercheurs de Kaspersky ont déclaré avoir découvert l’attaque lorsqu’ils ont remarqué « une activité suspecte provenant de plusieurs téléphones basés sur iOS », tout en surveillant leur propre réseau Wi-Fi d’entreprise. Van Horn a déclaré que les cyberattaques avaient été découvertes « au début de cette année ».
L’entreprise a appelé ce piratage présumé contre ses propres employés « Opération Triangulation » et a créé un logo pour cela.
Les chercheurs de Kaspersky ont déclaré avoir créé des sauvegardes hors ligne des iPhones ciblés et les avoir inspectés avec un outil développé par Amnesty International appelé Mobile Verification Toolkit, ou MVT, qui leur a permis de découvrir des « traces de compromission ». Les chercheurs n’ont pas précisé quand ils ont découvert l’attaque, et ont déclaré qu’ils en avaient trouvé des traces remontant à 2019 et que « l’attaque est en cours, et la version la plus récente des appareils ciblés avec succès est iOS 15.7 ».
Alors que le logiciel malveillant a été conçu pour nettoyer les appareils infectés et supprimer les traces de lui-même, « il est possible d’identifier de manière fiable si l’appareil a été compromis », ont écrit les chercheurs.
Dans le rapport, les chercheurs ont expliqué étape par étape comment ils ont analysé les appareils compromis, décrivant comment d’autres peuvent faire de même. Cependant, ils n’ont pas inclus beaucoup de détails sur ce qu’ils ont trouvé en utilisant ce processus.
Les chercheurs ont déclaré que la présence de « lignes d’utilisation des données mentionnant le processus nommé » BackupAgent « » était le signe le plus fiable qu’un iPhone avait été piraté, et qu’un autre des signes était que les iPhones compromis ne pouvaient pas installer les mises à jour iOS.
« Nous avons observé des tentatives de mise à jour se terminant par un message d’erreur » Échec de la mise à jour du logiciel. Une erreur s’est produite lors du téléchargement d’iOS », ont écrit les chercheurs.
La société a également publié une série d’URL qui ont été utilisées dans l’opération, dont certaines avec des noms tels que Unlimited Teacup et Backup Rabbit.
L’équipe russe d’intervention en cas d’urgence informatique (CERT), une organisation gouvernementale qui partage des informations sur les cyberattaques, a publié un avis sur la cyberattaque, ainsi que sur les mêmes domaines mentionnés par Kaspersky.
Dans une déclaration séparée, le Service fédéral de sécurité (FSB) de Russie a accusé les services de renseignement américains – mentionnant spécifiquement la NSA – d’avoir piraté des « milliers » de téléphones Apple dans le but d’espionner des diplomates russes, selon une traduction en ligne. Le FSB a également accusé Apple de coopérer avec les services de renseignement américains. Le FSB n’a pas fourni de preuves à l’appui de ses affirmations.
La NSA n’a pas immédiatement répondu à une demande de commentaire.
La description des attaques par le FSB fait écho à ce que Kaspersky a écrit dans son rapport, mais il n’est pas clair si les deux opérations sont liées.
« Bien que nous n’ayons pas de détails techniques sur ce qui a été rapporté par le FSB jusqu’à présent, le Centre national russe de coordination des incidents informatiques (NCCCI) a déjà déclaré dans son alerte publique que les indicateurs de compromission sont les mêmes », a déclaré Van Horn. a dit.
En outre, la société a refusé d’attribuer l’opération à un gouvernement ou à un groupe de piratage, affirmant que « Kaspersky ne fait pas d’attribution politique ».
« Nous n’avons pas de détails techniques sur ce qui a été rapporté par le FSB jusqu’à présent, nous ne pouvons donc pas non plus faire d’attribution technique. À en juger par les caractéristiques de la cyberattaque, nous ne sommes pas en mesure de lier cette campagne de cyberespionnage à un acteur menaçant existant », a écrit Van Horn.
Le porte-parole a également déclaré que la société avait contacté Apple jeudi matin, « avant d’envoyer le rapport aux CERT nationaux ».
Le fondateur de la société, Eugene Kaspersky, a écrit sur Twitter qu’ils « sont tout à fait convaincus que Kaspersky n’était pas la cible principale de cette cyberattaque », tout en promettant « plus de clarté et de plus amples détails » dans les prochains jours.
Ce n’est pas la première fois que des hackers ciblent Kaspersky. En 2015, la société a annoncé qu’un groupe de piratage d’un État-nation, utilisant des logiciels malveillants qui auraient été développés par des espions israéliens, avait piraté son réseau.
Mis à jour avec des détails supplémentaires de Kaspersky et pour inclure la déclaration d’Apple.
Correction de la date dans le deuxième paragraphe et le vingtième paragraphe.
Avez-vous plus d’informations sur ces cyberattaques ? Nous aimerions recevoir de vos nouvelles. Vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Wickr, Telegram and Wire @lorenzofb, ou par e-mail [email protected]. Vous pouvez également contacter TechCrunch via SecureDrop.