Como acontece o implante do spyware usado na Operação Triangulação

Operadores de APT estão demonstrando um interesse cada vez maior em dispositivos mobile. Nossos especialistas estudaram uma de suas ferramentas.

Há pouco tempo, nossas tecnologias detectaram um novo ataque APT em iPhones. Ele fazia parte de uma campanha direcionada, entre outros, aos funcionários da Kaspersky. Invasores desconhecidos usaram uma vulnerabilidade do kernel do iOS para implantar um spyware chamado TriangleDB na memória do dispositivo. Nossos especialistas estudaram este ataque minuciosamente.

O que o implante do TriangleDB pode fazer?

Estudar esse implante não foi tarefa fácil, pois ele funciona apenas na memória do telefone — sem deixar rastros no sistema. Ou seja, a reinicialização apaga completamente todos os vestígios do ataque, e o malware tinha um temporizador de autodestruição que era ativado automaticamente 30 dias após a infecção inicial (caso os operadores decidissem não enviar um comando para estender seu tempo de ativação). A funcionalidade básica do implante inclui os seguintes recursos:

  • manipulação de arquivos (criar, modificar, deletar e exfiltrar);
  • manipulações com processos em execução (obtendo uma lista e finalizando-os);
  • exfiltração de elementos do keychain do iOS – que podem conter certificados, identidades digitais e/ou credenciais para diversos serviços;
  • transmissão de dados de geolocalização — incluindo coordenadas, altitude, velocidade e direção do movimento.

Além disso, o implante pode carregar módulos adicionais na memória do telefone e executá-los. Se você estiver interessado nos detalhes técnicos do implante, poderá encontrá-los nessa publicação no blog Securelist (direcionado a especialistas em cibersegurança).

Ataques APT em dispositivos mobile

Recentemente, o principal alvo dos ataques APT de forma geral tem sido, principalmente, computadores pessoais tradicionais. No entanto, os dispositivos mobile são atualmente comparáveis ​​aos PCs de escritório em termos de desempenho e funcionalidade. Eles são usados ​​para interagir com informações críticas de negócios, armazenar segredos pessoais e comerciais, podendo servir como chaves de acesso a serviços relacionados ao trabalho. Portanto, os grupos APT estão se esforçando ainda mais para projetar ataques a sistemas operacionais móveis.

Obviamente, a triangulação não é o primeiro ataque direcionado a dispositivos iOS. Todos se lembram do infame (e, infelizmente, ainda em andamento) caso do spyware comercial Pegasus. Existem outros exemplos também, como Insomnia, Predator, Reign, etc. Além disso, não é uma surpresa que grupos APT também estejam interessados ​​no sistema operacional Android. Há pouco tempo, os meios de comunicação escreveram sobre um ataque do grupo APT “Transparent Tribe”, que usou a backdoor CapraRAT contra usuários indianos e paquistaneses desse sistema. E no terceiro trimestre do ano passado, descobrimos um spyware até então desconhecido, direcionado a usuários que falam farsi.

Tudo isso sugere que, para proteger uma empresa dos ataques APT nos dias de hoje, é necessário garantir a segurança não apenas dos equipamentos fixos — como servidores e estações de trabalho —, mas também dos dispositivos mobile utilizados no processo de trabalho.

Como melhorar suas chances contra ataques APT em dispositivos mobile

Seria errado presumir que as tecnologias de proteção padrão fornecidas pelos fabricantes de dispositivos são suficientes para proteger os dispositivos móveis. O caso da Operação Triangulação mostra claramente que nem mesmo as tecnologias da Apple são perfeitas. Portanto, recomendamos que as empresas sempre empreguem um sistema de proteção multinível, que inclua ferramentas adequadas para assegurar o controle dos aparelhos, além de sistemas que possibilitem monitorar as interações de rede.

A primeira linha de defesa deve ser uma solução de classe MDM. Nosso Endpoint Security for Mobile fornece gerenciamento centralizado da segurança de dispositivos mobile por meio do Kaspersky Security Center, nosso console de administração. Além disso, nossa solução oferece proteção contra phishing, ameaças web e malware (somente para Android; infelizmente, a Apple não permite soluções antivírus de terceiros).

Em particular, ele emprega a tecnologia Cloud ML para Android para detectar malware relacionado a esse sistema operacional. Ao trabalhar na nuvem da KSN, a tecnologia é baseada em métodos de aprendizado de máquina. O modelo, treinado em milhões de amostras de malware Android conhecidas, detecta até mesmo malware previamente desconhecido com alta precisão.

No entanto, os agentes de ameaças usam cada vez mais plataformas móveis em ataques direcionados sofisticados. Portanto, faz sentido usar um sistema que pode monitorar a atividade da rede – seja informações de segurança e gerenciamento de eventos (SIEM, na sigla em inglês) ou alguma outra ferramenta que possa capacitar seus especialistas a lidar com incidentes complexos cibersegurança com detecção e resposta estendidas inigualáveis, como nosso Kaspersky Anti Targeted Attack Platform.

A operação de triangulação mencionada acima foi descoberta por nossos especialistas durante o monitoramento de uma rede Wi-Fi corporativa usando nosso próprio sistema SIEM Kaspersky Unified Monitoring and Analysis Platform (KUMA). Além disso, nossas soluções de Threat Intelligence são capazes de fornecer aos sistemas de segurança e especialistas informações atualizadas sobre novas ameaças, bem como sobre técnicas, táticas e procedimentos do invasor.

Dicas