Kaspersky sagt, dass neue Zero-Day-Malware iPhones getroffen hat -
einschließlich seiner eigenen
Am selben Tag verbreitete der russische
Geheimdienst FSB wilde Behauptungen, dass NSA und Apple Tausende von
Russen gehackt hätten.
DIE IN MOSKAU ANSÄSSIGE CYBERSICHERHEIT Die Firma Kaspersky macht seit
Jahren Schlagzeilen, weil sie ausgeklügelte Hackerangriffe durch
russische und westliche, staatlich geförderte Cyberspione aufdeckt.
Jetzt deckt es eine heimliche neue Angriffskampagne auf, bei der
Kaspersky selbst ein Ziel war.
In einem heute veröffentlichten Bericht teilte Kaspersky mit, dass es
Anfang des Jahres gezielte Angriffe auf eine Gruppe von iPhones entdeckt
hat, nachdem es den unternehmenseigenen Netzwerkverkehr analysiert
hatte. Die Kampagne, die die Forscher Operation Triangulation nennen und
von der sie sagen, dass sie "im Gange" ist, scheint aus dem Jahr 2019 zu
stammen und nutzte mehrere Schwachstellen in Apples mobilem
Betriebssystem iOS, damit Angreifer die Kontrolle über die Geräte der
Opfer übernehmen konnten.
Kaspersky sagt, dass die Angriffskette eine "Null-Klick"-Ausnutzung
nutzte, um die Geräte der Ziele zu kompromittieren, indem einfach eine
speziell gestaltete Nachricht über den iMessage-Dienst von Apple an die
Opfer gesendet wurde. Die Opfer erhielten die Nachricht, die einen
bösartigen Anhang enthielt, und die Ausbeutung begann, unabhängig davon,
ob die Opfer die Nachricht öffneten und den Anhang überprüften oder
nicht. Dann würde der Angriff mehrere Schwachstellen verketten, um den
Hackern immer tieferen Zugriff auf das Gerät des Ziels zu verschaffen.
Und die endgültige Malware-Nutzlast würde automatisch auf das Gerät des
Opfers heruntergeladen, bevor die ursprüngliche bösartige Nachricht und
der Anhang selbst gelöscht werden.
Kasperskys Enthüllung der neuen iOS-Hacking-Kampagne kommt am selben
Tag, an dem der russische Geheimdienst FSB separat die Behauptung
ankündigte, dass die US National Security Agency Tausende von russischen
Telefonen gehackt hat. Noch bemerkenswerter ist, dass der FSB
behauptete, Apple habe sich an diesem breit angelegten Hacking von
iOS-Geräten beteiligt und der NSA bereitwillig Schwachstellen zur
Verfügung gestellt, um sie bei ihren Spionageoperationen auszunutzen.
Apple sagte in einer Erklärung gegenüber WIRED: "Wir haben noch nie mit
einer Regierung zusammengearbeitet, um eine Hintertür in ein
Apple-Produkt einzubauen, und werden es auch nie tun."
Auf die Frage nach dem Bericht von Kaspersky stellte ein Apple-Sprecher
fest, dass sich die Ergebnisse nur auf iPhones mit iOS-Version 15.7 und
darunter zu beziehen scheinen. Die aktuelle Version von iOS ist 16.5.
Kaspersky sagt, dass die entdeckte Malware nach dem Neustart nicht mehr
auf einem Gerät bestehen bleiben kann, aber die Forscher sagen, dass sie
in einigen Fällen Hinweise auf eine Reinfektion gesehen haben. Die
genaue Art der Schwachstellen, die in der Exploit-Kette verwendet
werden, bleibt unklar, obwohl Kaspersky sagt, dass einer der Fehler
wahrscheinlich die Kernel-Erweiterungsschwachstelle CVE-2022-46690 war,
die Apple im Dezember gepatcht hat.
Zero-Click-Schwachstellen können auf jeder Plattform existieren, aber in
den letzten Jahren haben sich Angreifer und Spyware-Anbieter darauf
konzentriert, diese Schwachstellen in Apples iOS, oft in iMessage, zu
finden und sie auszunutzen, um gezielte Angriffe auf iPhones zu starten.
Dies liegt zum Teil daran, dass Dienste wie iMessage innerhalb von iOS
einen ungewöhnlich fruchtbaren Boden für die Entdeckung von
Schwachstellen bieten, aber auch daran, dass Angriffe auf iOS-Geräte mit
diesem Ansatz für Opfer oft sehr schwer zu erkennen sind.
"Kaspersky, wohl eines der besten Unternehmen zur Erkennung von Exploits
der Welt, wurde möglicherweise fünf Jahre lang über einen iOS-Zero-Day
gehackt, und es wurde erst jetzt entdeckt", sagt der langjährige macOS-
und iOS-Sicherheitsforscher Patrick Wardle. "Das zeigt, wie lächerlich
schwer es ist, diese Exploits und Angriffe zu erkennen."
In ihrem Bericht weisen die Kaspersky-Forscher darauf hin, dass einer
der Gründe für diese Schwierigkeit das gesperrte Design von iOS ist, das
es sehr schwierig macht, die Aktivität des Betriebssystems zu
überprüfen.
"Die Sicherheit von iOS, wenn es einmal verletzt wurde, macht es
wirklich schwierig, diese Angriffe zu erkennen", sagt Wardle, der früher
ein NSA-Mitarbeiter war. Gleichzeitig fügt er hinzu, dass Angreifer
davon ausgehen müssten, dass jede dreiste Kampagne, die auf Kaspersky
abzielt, irgendwann entdeckt wird. "Meiner Meinung nach wäre das für
einen NSA-Angriff schlampig", sagt er. "Aber es zeigt, dass entweder das
Hacken von Kaspersky für den Angreifer unglaublich wertvoll war oder
dass derjenige, der dies war, wahrscheinlich auch andere iOS-Zero-Days
hat. Wenn Sie nur einen Exploit haben, riskieren Sie nicht Ihren
einzigen iOS-Remote-Angriff, um Kaspersky zu hacken."
Die NSA lehnte die Bitte von WIRED ab, sich entweder zu der
FSB-Ankündigung oder zu den Erkenntnissen von Kaspersky zu äußern.
Mit der Veröffentlichung von iOS 16 im September 2022 hat Apple eine
spezielle Sicherheitseinstellung für das mobile Betriebssystem
eingeführt, die als Lockdown-Modus bekannt ist und die
Benutzerfreundlichkeit und den Zugriff auf Funktionen einschränkt, die
innerhalb von Diensten wie iMessage und Apples WebKit porös sein können.
Es ist nicht bekannt, ob der Lockdown-Modus die von Kaspersky
beobachteten Angriffe verhindert hätte.
Die angebliche Entdeckung von Apples Absprachen mit dem US-Geheimdienst
durch die russische Regierung "zeugt von der engen Zusammenarbeit des
amerikanischen Unternehmens Apple mit den nationalen Geheimdiensten,
insbesondere der US-NSA, und bestätigt, dass die erklärte Politik, die
Vertraulichkeit personenbezogener Daten von Nutzern von Apple-Geräten zu
gewährleisten, nicht wahr ist", heißt es in einer Erklärung des FSB ,
die hinzufügt, dass es der NSA und "Partnern bei antirussischen
Aktivitäten" erlauben würde, "jede Person, die für das Weiße Haus von
Interesse ist", sowie US-Bürger ins Visier zu nehmen.
Die FSB-Erklärung wurde weder von technischen Details der beschriebenen
NSA-Spionagekampagne noch von Beweisen dafür begleitet, dass Apple daran
beteiligt war.
Apple hat sich in der Vergangenheit dem Druck widersetzt, den
US-Strafverfolgungsbehörden oder Geheimdiensten eine "Hintertür" oder
eine andere Schwachstelle zu bieten. Diese Haltung wurde am
öffentlichsten in Apples öffentlichkeitswirksamem Showdown mit dem FBI
im Jahr 2016 demonstriert, bei dem es um die Forderung des Büros ging,
Apple solle bei der Entschlüsselung eines iPhones helfen, das vom
Amokläufer Syed Rizwan Farook aus San Bernadino verwendet wurde. Die
Pattsituation endete erst, als das FBI mit Hilfe der australischen
Cybersicherheitsfirma Azimuth eine eigene Methode fand, um auf den
Speicher des iPhones zuzugreifen.
Obwohl die Ankündigung am selben Tag wie die Behauptungen des FSB
erfolgte, hat Kaspersky bisher keine Behauptungen aufgestellt, dass die
Hacker der Operation Triangulation, die das Unternehmen ins Visier
genommen haben, im Auftrag der NSA gearbeitet haben. Das
Cybersicherheitsunternehmen hat den Hack auch nicht der Equation Group
zugeschrieben, Kasperskys Name für die staatlich geförderten Hacker, die
es zuvor mit hochentwickelter Malware in Verbindung gebracht hat,
darunter Stuxnet und Duqu, Tools, von denen allgemein angenommen wird,
dass sie von der NSA und den US-Verbündeten entwickelt und eingesetzt
wurden.
Kaspersky sagte in einer Erklärung gegenüber WIRED: "Angesichts der
Raffinesse der Cyberspionagekampagne und der Komplexität der Analyse der
iOS-Plattform werden weitere Untersuchungen sicherlich weitere Details
zu diesem Thema enthüllen."
US-Geheimdienste und US-Verbündete hätten natürlich allen Grund,
Kaspersky über die Schulter schauen zu wollen. Abgesehen von jahrelangen
Warnungen der US-Regierung, dass Kaspersky Verbindungen zur russischen
Regierung hat, haben die Forscher des Unternehmens seit langem ihre
Bereitschaft unter Beweis gestellt, Hacking-Kampagnen westlicher
Regierungen zu verfolgen und aufzudecken, die westliche
Cybersicherheitsfirmen nicht tun. Im Jahr 2015 enthüllte Kaspersky
tatsächlich, dass sein eigenes Netzwerk von Hackern gehackt worden war,
die eine Variante der Duqu-Malware verwendeten, was auf eine Verbindung
zur Equation Group – und damit möglicherweise zur NSA – hindeutete.
Diese Geschichte, kombiniert mit der Raffinesse der Malware, die auf
Kaspersky abzielte, deutet darauf hin, dass die Behauptungen des FSB, so
wild sie auch sein mögen, gute Gründe für die Annahme haben, dass
Kasperskys Eindringlinge Verbindungen zu einer Regierung haben könnten.
Aber wenn Sie einen der weltweit produktivsten Tracker staatlich
geförderter Hacker hacken – selbst mit nahtloser, schwer zu erkennender
iPhone-Malware – können Sie damit rechnen, früher oder später erwischt
zu werden.
https://www.wired.com/story/kaspersky-apple-ios-zero-day-intrusion/
