Operation Triangulation: Spyware-Implantat kann Dateien manipulieren
Kaspersky: TriangleDB löscht sich selbst bei Neustart des Geräts
Die Experten von Kaspersky veröffentlichten vor Kurzem weitere Details zur Kampagne Operation Triangulation, die auf iOS-Geräte abzielt. Demnach bietet das Spyware-Implantat TriangleDB den Angreifern verdeckte Überwachungsmöglichkeiten. Es läuft ausschließlich im Arbeitsspeicher eines iOS-Geräts und sorgt dafür, dass alle seine Spuren bei einem Neustart des jeweiligen Endgeräts gelöscht werden. Das Implantat kann Dateien erstellen, ändern, exfiltrieren und sogar löschen.
Anfang Juni veröffentlichte Kaspersky Details über eine neue APT-Kampagne (Advanced Persistent Threat), die speziell iOS-Geräte via iMessage anvisiert. Nach einer sechsmonatigen Untersuchung konnten die Experten jetzt eine tiefergehende Analyse der Angriffskette und weitere Details zum Spyware-Implantat zur Verfügung stellen.
Das als TriangleDB bezeichnete Implantat arbeitet unter Ausnutzung einer Kernel-Schwachstelle, um Root-Rechte auf dem Ziel-iOS-Gerät zu erlangen. Nach der Installation läuft die Software ausschließlich im Speicher des Geräts, sodass die Spuren der Infektion nach dem Neustart des Geräts verschwinden. Startet die betroffene Person ihr Gerät neu, muss der Angreifer es erneut infizieren, indem er eine weitere iMessage mit einem schädlichen Anhang versendet und so den gesamten Infektionsprozess erneut in Gang setzt. Sollte kein Neustart erfolgen, deinstalliert sich das Implantat nach 30 Tagen automatisch, es sei denn, die Angreifer verlängern diesen Zeitraum.
Bei TriangleDB handelt es sich um eine komplexe Spyware. Sie verfügt über eine breite Palette von Datenerfassungs- und Überwachungsfunktionen. Insgesamt umfasst das Implantat 24 Befehle mit diversen Funktionen, darunter die Interaktion mit Daten im Dateisystem des Geräts (einschließlich Erstellung, Änderung, Exfiltration und Löschung von Dateien), die Verwaltung von Prozessen (Auflistung und Beendigung), das Extrahieren von iCloud-Schlüsselbund-Einträgen zum Sammeln von Anmeldedaten und die Überwachung der Geolokalisierung.
Bei der Untersuchung von TriangleDB entdeckten die Kaspersky-Experten zudem, dass die CRConfig Class eine bislang nicht verwendete Methode namens populateWithFieldsMacOSOnly enthält. Obwohl sie im iOS-Implantat nicht zum Einsatz kommt, deutet ihr Vorhandensein auf die Möglichkeit hin, dass ein ähnliches Implantat auf macOS-Geräte abzielen könnte.
„Im Zuge unserer Untersuchungen entdeckten wir ein ausgeklügeltes iOS-Implantat, das zahlreiche verblüffende Besonderheiten aufwies“, kommentiert Georgy Kucherin, Sicherheitsexperte im Global Research and Analysis Team (GReAT) bei Kaspersky. „Wir werden die Analyse der Kampagne fortsetzen und die Cybersicherheits-Community über weitere Erkenntnisse zu diesem raffinierten Angriff auf dem Laufenden halten. Unser Appell an die Community: lasst uns alle zusammenschließen, unser Wissen teilen und zusammenarbeiten, um ein klareres Bild der Bedrohungen zu erhalten.“
Lesen Sie mehr zum Thema
