Die Kampagne mit dem Namen „Operation Triangulation“ verbreitet über iMessage einen Zero-Click-Exploit, um Malware auszuführen, die die vollständige Kontrolle über das Gerät und die Daten eines Benutzers erlangt, mit dem ultimativen Ziel, die Benutzer heimlich auszuspionieren.

Die Experten von Kaspersky entdeckten diese APT-Kampagne, als sie den Netzwerkverkehr des Unternehmens-WLANs mithilfe der Kaspersky Unified Monitoring and Analysis Platform (KUMA) überwachten. Bei weiterer Analyse stellten die Forscher fest, dass der Bedrohungsakteur es auf die iOS-Geräte von Dutzenden von Mitarbeitern des Unternehmens abgesehen hatte.

Die technische Untersuchung des Angriffs ist noch im Gange, aber den Forschern von Kaspersky ist es gelungen, die allgemeine Infektionssequenz zu identifizieren. Das Opfer erhält eine iMessage-Nachricht mit einem Anhang, der einen Zero-Click-Exploit enthält. Ohne dass eine Interaktion des Opfers erforderlich ist, löst die Nachricht eine Sicherheitslücke aus, die zur Ausführung von Code führt, um die Berechtigungen zu erhöhen und die vollständige Kontrolle über das infizierte Gerät zu erlangen. Sobald der Angreifer seine Anwesenheit auf dem Gerät erfolgreich nachgewiesen hat, wird die Nachricht automatisch gelöscht.

Doch damit nicht genug: Die Spyware überträgt heimlich persönliche Informationen an Remote-Server, darunter Audioaufnahmen, Fotos aus Instant-Messaging-Apps, Geolokalisierungsdaten und Daten zu zahlreichen anderen Aktivitäten des Besitzers des infizierten Geräts.

Im Rahmen der Analyse bestätigten die Kaspersky-Experten, dass es weder Auswirkungen auf die Produkte, Technologien und Dienstleistungen des Unternehmens gab, noch Kundendaten oder kritische Unternehmensprozesse von Kaspersky betroffen waren. Angreifer können nur auf Daten zugreifen, die auf infizierten Geräten gespeichert sind. Kaspersky war das erste Unternehmen, das diesen Angriff entdeckte, aber es wird wahrscheinlich nicht das einzige Ziel sein.

„Wenn es um Cybersicherheit geht, können selbst die sichersten Betriebssysteme kompromittiert werden. Da APT-Angreifer ihre Taktiken ständig weiterentwickeln und nach neuen Schwachstellen suchen, müssen Unternehmen der Sicherheit ihrer Systeme höchste Priorität einräumen. Dazu gehört die Schulung und Sensibilisierung ihrer Mitarbeiter sowie die Bereitstellung der neuesten Bedrohungsinformationen und Tools, um potenzielle Bedrohungen effektiv zu erkennen und sich davor zu schützen“, kommentiert Igor Kuznetsov, Leiter EEMEA im Global Research and Analysis Team (GReAT) von Kaspersky.