Medewerkers van het Russische cybersecuritybedrijf Kaspersky werden massaal gehackt via malware op hun iPhones.
Het Russische cybersecuritybedrijf Kaspersky werd gehackt via onbekende malware op de iPhones van tientallen medewerkers. Dat bracht het bedrijf deze week zelf naar buiten.
Feiten
De hack werd uitgevoerd via een zero-click exploit (waarbij de geïnfecteerde boodschap ontvangen al voldoende is om een kwetsbaarheid uit te buiten) in een iMessage-bijlage. Alles gebeurde tussen amper één tot drie minuten.
Wanneer de aanval exact plaatsvond werd niet onthuld, maar wel dat er sporen zijn gevonden tot zover terug als 2019. Het meest recente systeem dat succesvol is geviseerd was iOS 15.7.
Voorlopige bevindingen
Kaspesrky publiceerde zelf al een voorlopig rapport over de aanval, maar dat is momenteel nog onvolledig. Zo zijn de daders voorlopig nog onbekend. De hack werd ontdekt tijdens een controle van het wifi-netwerk, begin dit jaar. Er werd toen verdachte activiteit vastgesteld op iOS-telefoons.
Volgens een woordvoerder is één van de kwetsbaarheden die werd gebruikt normaal gezien door Apple in december gepatcht, maar bestaat de kans dat de aanval eerder al werd uitgevoerd. Intussen creëerde Kasspersky offline back-ups van de geïnfecteerde telefoons, met de Mobile Verification Toolkit (MTV) die werd ontwikkeld door Amnesty International.
Hoewel de malware zo werd ontwikkeld om geen sporen na te laten en telefoons nadien “op te kuisen”, hebben de onderzoekers er vertrouwen in dat ze geïnfecteerde telefoons toch kunnen identificeren.
In het rapport deden de onderzoekers wel uit de doeken hoe ze stap voor stap te werk gingen, maar veel info over wat ze juist vonden, dat werd niet gedeeld. Twee indicaties dat een iPhone was gecompromitteerd waren sporen van een proces met de naam BackupAgent en het feit dat er geen updates meer konden worden uitgevoerd. Kaspersky publiceerde ook een aantal URL’s die in de aanval werden gebruikt.
Rusland vs. Amerika
In een apart statement uitte de Russische FSB (opvolger van de beruchte KGB) beschuldigingen aan het adres van de Verenigde Staten. Volgens de federale veiligheidsdienst hackte de NSA (zowat de Amerikaanse tegenhanger van de FSB) duizenden iPhones om Russische diplomaten te bespioneren. In één adem werd ook Apple beschuldigd van hulp aan die acties. De NSA reageerde hier nog niet op.
De aanvallen die de FSB omschreef, lijken identiek aan die uit het rapport van Kaspersky. Het is echter niet duidelijk of er een link is en de FSB voorzag ook geen directe bewijzen voor zijn claims. De woordvoerder van Kaspersky gaf al wel te kennen dat het Russische Coördinatiecentrum voor Computerincidenten aangaf dat de aanvallen gelijkaardig zijn. Het bedrijf wil echter geen namen of landen noemen en zegt dat het niet aan politiek doet.
In onze regio is Kaspersky fysiek aanwezig in het Nederlandse Utrecht. Vorig jaar waarschuwde het bedrijf nog voor een twijfelachtige app die zich voordoet als WhatsApp, maar waarvan je beter wegblijft.