Ciao a tutti,
Oggi vi diamo una notizia dirompente sulla sicurezza informatica riguardante un incidente che abbiamo appena scoperto…
Gli esperti di Kaspersky hanno scoperto un attacco informatico a livello professionale estremamente complesso e mirato che colpisce i dispositivi mobile Apple. Questo attacco consiste nell’introdurre in modo discreto uno spyware negli iPhone dei dipendenti della nostra azienda, sia in quelli dei dirigenti che dei quadri intermedi.
L’attacco avviene tramite un iMessage invisibile con un allegato dannoso che, sfruttando una serie di vulnerabilità del sistema operativo iOS, viene eseguito sul dispositivo e installa lo spyware. Lo spyware viene distribuito in modo occulto e non richiede alcuna azione da parte dell’utente. In più, lo spyware invia silenziosamente dati sensibili a i server remoti dei criminali: registrazioni realizzate con il microfono, foto provenienti dalle app di messaggistica, geolocalizzazione e dati relativi a molte altre attività del proprietario del dispositivo infetto.
L’attacco si svolge nel modo più discreto possibile, tuttavia l’infezione è stata rilevata da Kaspersky Unified Monitoring and Analysis Platform (KUMA), una soluzione SIEM nativa per la gestione delle informazioni e degli eventi. Il sistema ha rilevato un’anomalia nella nostra rete proveniente dai dispositivi Apple. Ulteriori indagini da parte del nostro team hanno dimostrato che diverse decine di iPhone dei nostri dipendenti di alto livello erano stati infettati da un nuovo spyware estremamente sofisticato dal punto di vista tecnologico che abbiamo battezzato “Triangulation”.
A causa della natura chiusa del sistema operativo iOS, non esistono (e non possono esistere) strumenti standard per il rilevamento e la rimozione di questo spyware sugli smartphone colpiti. Per farlo, si deve ricorrere a strumenti esterni.
Un indizio evidente della presenza di Triangulation sul dispositivo è la disabilitazione della possibilità di aggiornare il sistema operativo iOS. Per un rilevamento più accurato dell’infezione, è necessario eseguire una copia di backup del dispositivo e analizzarla con un’apposita utility. In questo articolo tecnico di Securelist troverete consigli più dettagliati. Inoltre, stiamo sviluppando un’utility di rilevamento gratuita che sarà disponibile dopo i test.
A causa delle peculiarità del blocco degli aggiornamenti iOS sui dispositivi infettati, non abbiamo ancora trovato un modo efficace per rimuovere lo spyware senza perdere i dati dell’utente. Questo può essere fatto solo resettando gli iPhone infetti e riportandoli alle impostazioni di fabbrica, installando l’ultima versione del sistema operativo e l’intero ambiente utente da zero. Altrimenti, anche se lo spyware viene eliminato dalla memoria del dispositivo dopo il riavvio, Triangulation è comunque in grado di reinfettare il dispositivo attraverso le vulnerabilità di una versione obsoleta di iOS.
Il nostro rapporto sull’operazione Triangulation è solo l’inizio di una ricerca su questo sofisticato attacco. Oggi pubblichiamo i primi risultati dell’analisi, ma c’è ancora molto lavoro da fare. Man mano che approfondiremo l’incidente, pubblicheremo nuovi dati in un post dedicato su Securelist e condivideremo le nostre conclusioni complete e definitive durante il Security Analyst Summit internazionale di ottobre (seguite le notizie sul sito).
Siamo abbastanza sicuri che Kaspersky non sia stato l’obiettivo principale di questo cyber-attacco. Nei prossimi giorni ne sapremo di più e vi daremo maggiori dettagli sulla diffusione dello spyware in tutto il mondo.
Siamo sicuri che la ragione principale di questo incidente sia dovuta alla natura proprietaria di iOS. Questo sistema operativo è una “scatola nera” in cui spyware come Triangulation possono nascondersi per anni. Il rilevamento e l’analisi di tali minacce sono resi più difficili dal monopolio di Apple sugli strumenti di ricerca, che lo rende il rifugio perfetto per gli spyware. In altre parole, come ho detto più volte, agli utenti viene data l’illusione di una sicurezza associata alla completa opacità del sistema. Ciò che accade realmente nel sistema iOS è sconosciuto agli esperti di cybersecurity. L’assenza di notizie sugli attacchi non indica affatto l’impossibilità dei medesimi, come abbiamo appena visto.
Vorrei ricordare che questo non è il primo caso di attacco mirato che colpisce la nostra azienda. Siamo ben consapevoli di lavorare in un ambiente molto aggressivo e abbiamo sviluppato apposite procedure di risposta agli incidenti. Grazie alle misure adottate, l’azienda funziona normalmente, i processi aziendali e i dati degli utenti non sono stati compromessi e la minaccia è stata neutralizzata. Continuiamo a proteggervi, come sempre.
P.S. Perché ” Triangulation”?
Per riconoscere le caratteristiche software e hardware del sistema attaccato, Triangulation utilizza la tecnologia Canvas Fingerprinting e disegna un triangolo giallo nella memoria del dispositivo.