Parece que Kaspersky está en problemas, de nuevo; la empresa rusa de ciberseguridad ha descubierto un software espía encubierto en los iPhones de su personal que se remonta, al menos, a 2019.
Los cibercriminales nunca descansan
La campaña de amenazas persistentes avanzadas (APT), que Kaspersky ha bautizado como Operación Triangulación, implica la infección de dispositivos iOS a través de la aplicación iMessage, con el fin de robar datos de los usuarios.
Los investigadores dijeron que descubrieron pruebas de que la campaña se dirigía a su propio personal desde 2019, y que siguen siendo una amenaza en curso. Kaspersky cree que la intención del ataque era colocar spyware en dispositivos pertenecientes a empleados de alto nivel de la compañía de ciberseguridad.
Se cree que el ataque comienza con el envío de un iMessage oculto a las víctimas, que contiene un archivo adjunto malicioso. A continuación, esta carga útil inicial se activa en un dispositivo sin conocimiento del usuario a través de una vulnerabilidad de clic cero.
Una vez activo, el paquete se conecta al servidor de mando y control de los atacantes para descargar una carga útil mucho mayor. Esto exfiltra datos personales, grabaciones del micrófono, información de geolocalización y fotos enviadas en apps de mensajería.
«Nuestros expertos han descubierto un ciberataque dirigido extremadamente complejo y profesional, que utiliza los dispositivos móviles de Apple», declaró Eugene Kaspersky, CEO de Kaspersky Lab.
«El objetivo del ataque es la colocación discreta de spyware en los iPhones de los empleados de nuestra empresa, tanto de mandos intermedios como superiores».
Operación Triaungulación
La investigación inicial mostró que esta metodología de infección explota fallos de iOS para realizar una escalada de privilegios.
Esto le permite ejecutar código con privilegios de root, en el que el malware obtiene el control total sobre un sistema con el poder de modificar o eliminar incluso los archivos principales del mismo. Kaspersky Lab descubrió la Operación Triangulación mientras realizaba un análisis de su tráfico de red Wi-Fi.
Los investigadores confían en que la empresa no sea el objetivo principal de la Operación Triangulación, pero se abstuvieron de especular sobre quién podría serlo. Eugene Kaspersky señaló que no es la primera vez que su empresa es víctima de una campaña de malware dirigida. Los problemas para Kaspersky no parecen terminar, ya que aún no se ha identificado a los autores del sofisticado ataque.
Antecedentes internacionales
Reuters informó de que el Servicio Federal de Seguridad de Rusia (FSB) acusó a la Agencia de Seguridad Nacional de Estados Unidos (NSA) de cometer los ataques en colaboración con Apple, sin pruebas.
Algunos han comparado la actividad del programa espía con Pegasus, de NSO Group, el programa espía que los gobiernos autoritarios utilizaban para atacar a personalidades de alto nivel del mundo empresarial y de los medios de comunicación, mediante la observación encubierta y el robo de datos.
Sin embargo, en un hilo de Twitter, Eugene Kaspersky informó de que la actividad de Operación Triangulación no se solapa con la del malware iOS conocido como Pegasus.
El investigador de Kaspersky Georgy Kucherin también tuiteó que el spyware no persiste y que los atacantes «tienen que reinfectar el dispositivo cuando se reinicia». Esto podría suscitar esperanzas de que los reinicios regulares del teléfono funcionen como medida contra la infección prolongada del dispositivo.
Como medida cautelar, las pruebas de la cadena de ataque sugieren que, desactivar iMessage protegería a los dispositivos iOS de la Operación Triangulación, pero que una vez infectados, los dispositivos tienen que someterse a un reinicio de fábrica y a una reinstalación manual de iOS y del entorno de usuario.
En cualquier caso, Kaspersky debe tener cuidado de que estos problemas no le supongan un quebradero de cabeza demasiado prolongado.