„Operation Triangulation“

iOS-Exploit infiziert (nicht nur) Kaspersky-iPhones

02.06.2023
Von 


Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.
Kaspersky hat einen „äußerst komplexen, professionellen und gezielten Cyberangriff“ auf iPhones des Unternehmens entdeckt. Der russische Geheimdienst spricht sogar von einer Verschwörung der NSA und Apple.
Die Operation Triangulation hat neben Kaspersky-Geräten auch iPhones der russischen Regierung und - angeblich - Diplomaten im Visier.
Die Operation Triangulation hat neben Kaspersky-Geräten auch iPhones der russischen Regierung und - angeblich - Diplomaten im Visier.
Foto: Kaspersky

Wie Firmenchef und -gründer Eugene Kaspersky in einem Blogbeitrag ausführt, hat die hauseigene SIEM-Lösung Anfang des Jahres eine Anomalie im Netzwerk festgestellt, die von Apple-Geräten ausging. Weitere Untersuchungen hätten dann ergeben, dass mehrere Dutzend iPhones leitender Angestellter mit einer neuen, technologisch äußerst ausgefeilten Spyware infiziert waren.

Übermittelt wird die auf den Firmen-iPhones entdeckte Malware in iMessage-Texten, teilte Kaspersky mit. Die Mitteilung enthält dabei einen bösartigen Anhang, der unter Ausnutzung einer Reihe von Sicherheitslücken im iOS-Betriebssystem auf einem Gerät ausgeführt wird und Spyware installiert. Die Installation der Spyware erfolge dabei völlig unbemerkt, anschließend würden dann über die ausgereifte APT-Plattform (Advanced Persistant Thread) unauffällig private Informationen wie Mikrofonaufzeichnungen, Fotos aus Instant Messengern, Geolocation und Daten über eine Reihe anderer Aktivitäten des Besitzers an entfernte Server übertragen.

Spyware seit vier Jahren aktiv

Wie die russischen Security-Experten in einem Securelist-Beitrag schreiben, stammen die ältesten Spuren einer Infektion aus dem Jahr 2019. Bis heute sei der Angriff noch im Gange und die neueste Version der erfolgreich angegriffenen Geräte sei iOS 15.7.

Kaspersky nennt die Spyware " Triangulation" weil diese eine als Canvas Fingerprinting bekannte Technik nutzt, um herauszufinden, mit welcher Hard- und Software ein Device ausgestattet ist. Während dieses Prozesses "zeichnet die Malware ein gelbes Dreieck in den Speicher des Geräts", so der Firmenchef.

Der Security-Experte geht davon aus, dass sein Unternehmen nicht das Hauptziel dieses Cyberangriffs ist. Dafür spricht auch eine zeitgleich ausgegebene Mitteilung des russischen Geheimdiensts FSB. In dieser wird die USA öffentlich beschuldigt, mehrere Tausende von Apple-iPhones gehackt zu haben, darunter auch die von Personen innerhalb Russlands, die zu Botschaften von NATO-Ländern, postsowjetischen Ländern, Israel, Hongkong und China gehörten.

Zusammenarbeit zwischen NSA und Apple?

Der FSB geht sogar noch einen Schritt weiter und behauptet, diese Schadsoftware zeige "die enge Zusammenarbeit des amerikanischen Unternehmens Apple mit den nationalen Geheimdiensten, insbesondere der US-amerikanischen NSA."

Die Entdeckung bestätige, dass die erklärte Politik, die Vertraulichkeit personenbezogener Daten von Nutzern von Apple-Geräten zu gewährleisten, nicht wahr sei, führt der russische Geheimdienst weiter aus: "Das Unternehmen bietet den US-Geheimdiensten vielfältige Möglichkeiten, alle Personen, die für das Weiße Haus von Interesse sind, zu kontrollieren - einschließlich ihrer Partner bei antirussischen Aktivitäten, als auch ihre eigenen Bürger."

Auch Eugene Kaspersky kritisierte Apple in seinem Blogpost, allerdings sind die Anschuldigungen hier eher technischer Natur: "Aufgrund des geschlossenen Charakters von iOS gibt es keine Standard-Betriebssystem-Tools (und kann es auch nicht geben), um diese Spyware auf infizierten Smartphones zu erkennen und zu entfernen. Hierfür werden externe Tools benötigt."

"Security by Obscurity ist eine Illusion"

Gleichzeitig nennt er das Betriebssystem eine "Black Box", in der sich Spionageprogramme wie Triangulation jahrelang verstecken können. Durch das Monopol von Apple auf Forschungs-Tools werde das Aufspüren und Analysieren solcher Bedrohungen erschwert, was es zu einem perfekten Zufluchtsort für Spionageprogramme macht.

"Was tatsächlich in iOS passiert, ist den Cybersecurity-Experten nicht bekannt, und das Ausbleiben von Nachrichten über Angriffe bedeutet keineswegs, dass sie unmöglich sind - wie wir gerade gesehen haben", so Kaspersky.

Die Entdeckung der Spyware ist möglicherweise auch ein Grund dafür, weshalb russische Politiker und Beamte wegen Sicherheitsbedenken seit April keine iPhones mehr bei der Arbeit nutzen dürfen.