Hola a todos:
Hoy compartiré con ustedes una noticia de última hora sobre un incidente de ciberseguridad que acabamos de descubrir…
Nuestros expertos se han encontrado con un ciberataque dirigido a profesionales y extremadamente complejo que utiliza los dispositivos móviles de Apple. El propósito de este ataque es la colocación discreta de un software espía en los iPhone de los empleados de, al menos, nuestra empresa, tanto en los mandos intermedios como en la alta directiva.
El ataque se lleva a cabo utilizando un iMessage invisible con un adjunto malicioso que, aprovechando una serie de vulnerabilidades del sistema operativo iOS, se ejecuta en el dispositivo para instalar el spyware. La implementación de este malware espía se lleva a cabo totalmente en oculto y no requiere ninguna acción por parte del usuario. Después, transmite sigilosamente información privada a servidores remotos: grabaciones de micrófonos, capturas de los mensajes instantáneos, geolocalización y datos sobre otras actividades del propietario del dispositivo infectado.
A pesar de que el ataque se llevó a cabo de la forma más discreta posible, nuestros expertos descubrieron la infección gracias a Kaspersky Unified Monitoring and Analysis Platform (KUMA), una solución SIEM nativa para la gestión de eventos y de la información de seguridad, que detectó una anomalía en nuestra red proveniente de los dispositivos Apple. La investigación posterior de nuestro equipo mostró que varias docenas de iPhone de empleados senior estaban infectados con un nuevo software espía con una tecnología de lo más sofisticada que hemos denominado “Triangulation”.
Debido a la naturaleza cerrada de iOS, no hay (ni puede haber) herramientas de sistema operativo estándar para la detección y eliminación de este software espía en los smartphones infectados. Para ello, se necesitan herramientas externas.
Un indicativo indirecto de la presencia de Triangulation en el dispositivo es la desactivación de la capacidad para actualizar iOS. Para un reconocimiento más preciso y fiable de la infección, hay que realizar una copia de seguridad del dispositivo y después analizarla con una herramienta especial; en este artículo técnico de Securelist encontrarás indicaciones más detalladas al respecto. Por otro lado, estamos desarrollando una herramienta de detección gratuita que estará disponible en cuanto la pongamos a prueba.
Debido a ciertas peculiaridades inherentes al bloqueo de las actualizaciones de iOS en los dispositivos infectados, todavía no hemos encontrado una forma eficaz de eliminar el software espía sin perder los datos del usuario. La única solución consiste en restaurar los iPhone infectados a la configuración de fábrica e instalar la última versión del sistema operativo y todo el entorno del usuario desde cero. De lo contrario, incluso aunque el software espía se eliminara de la memoria después de reiniciar, Triangulation aún podría volver a infectar el dispositivo a través de vulnerabilidades en una versión obsoleta de iOS.
Nuestro informe sobre Triangulation representa solo el comienzo de la investigación de este sofisticado ataque. Hoy publicamos los primeros resultados del análisis, pero aún queda mucho trabajo por hacer. A medida que vayamos encontrando hallazgos en nuestra investigación, seguiremos actualizando esta publicación de Securelist con los nuevos datos. Además, compartiremos la investigación al completo en la Security Analyst Summit en octubre (iremos informando en su página).
Estamos convencidos de que Kaspersky no ha sido el objetivo principal de este ciberataque. En los próximos días tendremos más información sobre la proliferación internacional de este spyware.
Creemos que la razón principal de este incidente es la naturaleza propietaria de iOS. Este sistema operativo es una “caja negra”, en la que un spyware como Triangulation puede ocultarse durante años. Detectar y analizar este tipo de amenazas resulta aún más complicado debido al monopolio de herramientas de investigación de Apple, lo que lo convierte en un refugio perfecto para el spyware. Es decir, como ya he comentado en otras ocasiones, a los usuarios se les concede una falsa seguridad asociada con la completa opacidad del sistema. Pero, lo que sucede realmente es que iOS es un completo desconocido para los expertos en ciberseguridad y la ausencia de noticias sobre ataques no indica que sean imposibles, como acabamos de comprobar.
Cabe recordar que esta no es la primera vez que un ataque se dirige contra nuestra empresa. Somos muy conscientes de que trabajamos en un entorno muy agresivo, por ello hemos desarrollado unos procedimientos de respuesta a incidentes adecuados. De esta forma, la empresa opera con normalidad, los procesos comerciales y los datos de los usuarios no se ven afectados y la amenaza ha sido neutralizada. Seguimos protegiéndote, como siempre.
P.D. ¿Por qué “Triangulation”?
Para reconocer las especificaciones de software y hardware del sistema atacado, Triangulation utiliza la tecnología Canvas Fingerprinting y dibuja un triángulo amarillo en la memoria del dispositivo.