Das russische Cybersicherheitsunternehmen Kaspersky sagte, dass Hacker, die für eine Regierung arbeiteten, die iPhones mehrerer Dutzend Mitarbeiter mit unbekannter Malware angegriffen hätten.
Am Donnerstag gab Kaspersky den mutmaßlichen Cyberangriff bekannt und veröffentlichte einen technischen Bericht, in dem es analysiert wurde, wo das Unternehmen zugab, dass seine Analyse noch nicht abgeschlossen sei. Das Unternehmen sagte, dass die Hacker, die zu diesem Zeitpunkt unbekannt sind, die Malware mit einem Zero-Click-Exploit über einen iMessage-Anhang übermittelten und dass alle Ereignisse innerhalb eines Zeitraums von ein bis drei Minuten stattfanden.
Kaspersky-Sprecher Sawyer Van Horn sagte in einer E-Mail an Tech, dass das Unternehmen festgestellt habe, dass eine der bei dem Vorgang ausgenutzten Schwachstellen darin besteht bekannt und wurde im Dezember 2022 von Apple behoben, wurde aber zusammen mit anderen Schwachstellen möglicherweise vor dem Patch ausgenutzt. „Obwohl es keine eindeutigen Hinweise darauf gibt, dass dieselben Schwachstellen zuvor ausgenutzt wurden, ist dies durchaus möglich“, sagte der Sprecher.
Kaspersky-Forscher sagten, sie hätten den Angriff entdeckt, als sie „verdächtige Aktivitäten bemerkten, die von mehreren iOS-basierten Telefonen ausgingen“, während sie ihr eigenes Unternehmens-WLAN überwachten. Van Horn sagte, die Cyberangriffe seien „Anfang dieses Jahres“ entdeckt worden.
Das Unternehmen nannte diesen mutmaßlichen Hack gegen seine eigenen Mitarbeiter „Operation Triangulation“ und erstellte ein Logo dafür.
Kaspersky-Forscher sagten, sie hätten Offline-Backups der Ziel-iPhones erstellt und diese mit einem von Amnesty International entwickelten Tool namens überprüft Toolkit zur mobilen Verifizierung, oder MVT, was es ihnen ermöglichte, „Spuren von Kompromissen“ zu entdecken. Die Forscher sagten nicht, wann sie den Angriff entdeckten, und sagten, dass sie Spuren davon gefunden hätten, die bis ins Jahr 2019 zurückreichen, und dass „der Angriff andauert und die neueste Version der erfolgreich angegriffenen Geräte iOS 15.7 ist.“
Während die Malware darauf ausgelegt war, die infizierten Geräte zu bereinigen und Spuren von sich selbst zu entfernen, „ist es möglich, zuverlässig zu erkennen, ob das Gerät kompromittiert wurde“, schreiben die Forscher.
In dem Bericht erklärten die Forscher Schritt für Schritt, wie sie die kompromittierten Geräte analysierten, und zeigten auf, wie andere dasselbe tun können. Sie machten jedoch keine detaillierten Angaben zu dem, was sie bei diesem Verfahren fanden.
Die Forscher sagten, dass das Vorhandensein von „Datennutzungszeilen, die den Prozess namens „BackupAgent“ erwähnen“ das zuverlässigste Zeichen dafür sei, dass ein iPhone gehackt wurde, und dass ein weiteres Anzeichen darin bestehe, dass kompromittierte iPhones keine iOS-Updates installieren könnten.
„Wir haben beobachtet, dass Update-Versuche mit der Fehlermeldung „Software-Update fehlgeschlagen“ endeten. „Beim Herunterladen von iOS ist ein Fehler aufgetreten“, schrieben die Forscher.
Das Unternehmen veröffentlichte außerdem eine Reihe von URLs, die bei der Operation verwendet wurden, darunter einige mit Namen wie Unlimited Teacup und Backup Rabbit.
Das russische Computer Emergency Response Team (CERT), eine Regierungsorganisation, die Informationen über Cyberangriffe weitergibt, hat zusammen mit denselben von Kaspersky erwähnten Domains eine Empfehlung zum Cyberangriff veröffentlicht.
Laut einer Online-Übersetzung beschuldigte der russische Föderale Sicherheitsdienst (FSB) in einer separaten Erklärung den US-Geheimdienst – wobei er insbesondere die NSA erwähnte –, „Tausende“ Apple-Telefone gehackt zu haben, mit dem Ziel, russische Diplomaten auszuspionieren. Der FSB warf Apple außerdem vor, mit amerikanischen Geheimdiensten zusammenzuarbeiten. Der FSB legte keine Beweise für seine Behauptungen vor.
Die NSA reagierte nicht sofort auf eine Bitte um Stellungnahme.
Die Beschreibung der Angriffe durch den FSB spiegelt die Aussagen von Kaspersky in seinem Bericht wider, es ist jedoch unklar, ob die beiden Operationen miteinander verbunden sind.
„Obwohl uns bisher keine technischen Details zu den Meldungen des FSB vorliegen, hat das russische Nationale Koordinierungszentrum für Computervorfälle (NCCCI) in seiner öffentlichen Warnung bereits erklärt, dass die Indikatoren für eine Kompromittierung dieselben sind“, sagte Van Horn genannt.
Das Unternehmen lehnte es außerdem ab, die Operation irgendeiner Regierung oder Hackergruppe zuzuschreiben, mit der Begründung: „Kaspersky macht keine politischen Zuschreibungen.“
„Wir haben keine technischen Details zu den bisherigen Berichten des FSB und können daher auch keine technische Zuordnung vornehmen. Den Merkmalen des Cyberangriffs nach zu urteilen, können wir diese Cyberspionagekampagne keinem bestehenden Bedrohungsakteur zuordnen“, schrieb Van Horn.
Der Sprecher sagte auch, dass das Unternehmen am Donnerstagmorgen Kontakt zu Apple aufgenommen habe, „bevor es den Bericht an nationale CERTs verschickte“.
Der Gründer des Unternehmens, Eugene Kaspersky, schrieb auf Twitter, dass man „ziemlich zuversichtlich sei, dass Kaspersky nicht das Hauptziel dieses Cyberangriffs war“, und versprach gleichzeitig „mehr Klarheit und weitere Details“ in den kommenden Tagen.
Dies ist nicht das erste Mal, dass Hacker Kaspersky ins Visier nehmen. Im Jahr 2015 gab das Unternehmen bekannt, dass eine staatliche Hackergruppe mithilfe von Malware, die vermutlich von israelischen Spionen entwickelt wurde, hatte sein Netzwerk gehackt.
Aktualisiert mit zusätzlichen Details von Kaspersky und der Stellungnahme von Apple.
Das Datum im zweiten Absatz und im zwanzigsten Absatz wurde korrigiert.
Haben Sie weitere Informationen zu diesen Cyberangriffen? Wir würden uns freuen, von Ihnen zu hören. Sie können Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382, über Wickr, Telegram und Wire @lorenzofb oder per E-Mail an [email protected] kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.