Uma questão de triangulação

Ataque direcionado ao nosso gerenciamento com Trojan de Triangulação.

Olá a todos,

Hoje temos uma notícia inédita e exclusiva sobre cibersegurança, relacionada a um incidente que detectamos…

Nossos especialistas descobriram um ciberataque direcionado profissional e extremamente complexo, que usa os dispositivos mobile da Apple. O objetivo do ataque é inserir discretamente um spyware nos iPhones dos funcionários, tanto da alta quanto da média gerência, de ao menos nossa empresa.

O ataque é realizado por meio de uma mensagem invisível no iMessage com um anexo malicioso, que, aproveitando de diversas vulnerabilidades no sistema operacional iOS, é executado em um dispositivo e instala o spyware. A invasão do spyware é completamente oculta e não requer nenhuma ação por parte do usuário. O spyware então transmite silenciosamente informações privadas para servidores remotos: gravações do microfone, fotos de aplicativos de mensagens instantâneas, geolocalização e dados sobre várias outras atividades da vítima que teve o dispositivo invadido.

Apesar do ataque ter sido realizado da forma mais discreta possível, a infecção foi detectada pela Kaspersky Unified Monitoring and Analysis Platform (KUMA), uma solução nativa de SIEM para gerenciamento de informações e eventos de segurança. No início do ano, o sistema detectou uma anomalia em nossa rede proveniente de dispositivos Apple. Uma investigação adicional aprofundada de nossa equipe mostrou que dezenas de iPhones de funcionários da alta gestão foram infectados com um novo spyware extremamente sofisticado tecnologicamente, que apelidamos de “Triangulação” ou em inglês, Triangulation Trojan.

Devido à natureza fechada do iOS, não há (e não pode haver) nenhuma ferramenta padrão do sistema operacional para detectar e remover esse spyware em smartphones infectados. Para fazer isso, são necessárias ferramentas externas.

Uma indicação indireta da presença do Triangulação no dispositivo é a desativação da funcionalidade de atualizar o iOS. Para uma detecção mais precisa e confiável de ameaça potencial, deve-se fazer uma cópia de segurança do backup do dispositivo e verificá-lo com um utilitário especial. Para um reconhecimento mais preciso da infecção, você precisará fazer uma cópia de segurança do dispositivo e verificá-lo com um utilitário especial. Recomendações mais detalhadas estão publicadas neste artigo técnico no Securelist. Também estamos desenvolvendo uma ferramenta gratuita de detecção e o disponibilizaremos após testes.

Por conta de certas peculiaridades inerentes ao bloqueio das atualizações do iOS em dispositivos invadidos, ainda não encontramos uma maneira eficaz de remover o spyware sem perder os dados do usuário. A desinfecção só pode ser feita pela redefinição dos iPhones hackeados para as configurações de fábrica, instalando a versão mais recente do sistema operacional e todo o ambiente do usuário do zero. Caso contrário, mesmo que o spyware seja excluído da memória do dispositivo após uma reinicialização, o Triangulação poderá infectá-lo novamente por meio de vulnerabilidades de uma versão desatualizada do iOS.

Nosso relatório sobre o trojan Triangulação é apenas o começo da investigação deste sofisticado ataque. Hoje publicamos os primeiros resultados da análise, mas ainda há muito trabalho pela frente. À medida que o incidente for investigado, publicaremos novas informações em um post dedicado ao assunto no Securelist e apresentaremos detalhes sobre o trabalho realizado no Security Analyst Summit internacional em outubro (acompanhe as notícias no site).

Estamos confiantes de que a Kaspersky não foi o alvo principal desse ciberataque. Os próximos dias trarão mais detalhes e transparência sobre a proliferação global do spyware.

Acreditamos que a principal razão para este incidente seja a natureza proprietária do iOS. Esse sistema operacional é uma “caixa preta”, na qual spywares como o Triangulação podem se esconder por anos. Detectar e observar essas ameaças é ainda mais difícil pelo monopólio da Apple sobre as ferramentas de análise, tornando os aparelhos labirintos perfeitos para spywares. Em outras palavras, como já disse mais de uma vez, os usuários têm a ilusão de segurança associada à completa opacidade do sistema. O que realmente acontece no iOS é desconhecido até para os especialistas em cibersegurança. A ausência de notícias sobre os ataques não indica de forma alguma a impossibilidade de invasões – como os fatos relatados evidenciam.

Gostaria de lembrar que este não é o primeiro caso de ataque direcionado contra nossa empresa. Temos plena consciência que trabalhamos em um ambiente muito competitivo e desenvolvemos procedimentos adequados de resposta a incidentes. Graças às medidas adotadas, as operações seguem em ritmo normal, os processos de negócios e os dados dos usuários não foram afetados e, ainda, a ameaça foi neutralizada. Continuamos a protegê-lo, como sempre.

PS: Por que “Triangulação”?

Para reconhecer as especificações de software e hardware do sistema atacado, o Triangulação usa a tecnologia de registro de impressão digital por Canvas, e desenha um triângulo amarelo na memória do dispositivo.

 

Dicas