(via “Clickless” iOS exploits infect Kaspersky iPhones with never-before-seen malware | Ars Technica)

yet another reason NOT to trust Kaspersky, in case you still trusted them...

#Alerta Estafas - Ofertas falsas del iPhone 16 alrededor de este lanzamiento

Después del lanzamiento del iPhone 16, los ciberdelincuentes están creando estafas dirigidas a los fans que desean ansiosamente obtener este último gadget de alta tecnología. Los investigadores de Kaspersky han descubierto que los actores de amenazas atraen a los usuarios con compras anticipadas falsas, ofertas para quienes sean los primeros en adquirirlo y un falso soporte técnico; todo ello en…

Spionage Software auf iPhone

Meist Nutzer im mittleren bis höheren Management betroffen

Vor einer Woche schrieb uns ein Leser als Kommentar zu unserem Artikel über die "Aneignung von allem durch Wenige", wo es um das Abschöpfen der menschlichen Erfahrung und des Wissens durch wenige große Internetkonzerne ging:

Google mit der Hilfe von der CIA gegründet ( https://en.wikipedia.org/wiki/In-Q-Tel?oldformat=true )! Facebook mit Hilfe der CIA gegründet ( https://en.wikipedia.org/wiki/In-Q-Tel?oldformat=true )! Also, was soll man anders erwarten?

Scheinbar ging es nicht nur um die Gründung, sondern auch um den langfristigen Betrieb und eine gedeihliche Zusammenarbeit - auch wenn Apple in dem verlinkten Artikel jede Zusammenarbeit mit US Geheimdiensten leugnet. Es wurde jedoch in Tausenden iPhones Malware gefunden, darunter auch in denen ausländischer Diplomaten in Moskau. Das russische Security Unternehmen Kaspersky hat den Trojaner namens Triangulation aufgedeckt und hält ihn für sehr professionell gemacht.

Die Nachrichtenagentur Reuters berichtet, dass mit dem Trojaner auch SIM-Karten infiziert waren, die für diplomatische Vertretungen in Russland, darunter NATO-Länder, ehemalige Sowjetrepubliken sowie Israel, Syrien und China registriert waren. Eine solche “extrem komplexe, professionell angelegte Cyberattacke” auf der proprietären und sehr abgeschotteten Software eines iPhone zum Laufen zu bekommen, erfordert internes Wissen über die iPhone Software.

Auch das Entdecken des Trojaners war schwierig, weil - im Gegensatz zu quelloffenen Systemen wie Unix oder Linux - das iPhone ein Betriebssystem besitzt, dass für Außenstehende eine “Black Box” darstellt. Kaspersky räumt in diesem Zusammenhang auch mit der irrigen Vorstellung auf, dass Apples Software wegen der Abgeschlossenheit Sicherheit garantiert. Den Nutzern wird lediglich die Illusion von Sicherheit vermittelt und das Gerät wird damit eigentlich zu einem perfekten Zufluchtsort für Spionageprogramme.

Wie bereits eingangs gesagt: Apple streitet jede Beteiligung an dem Trojaner ab.

Mehr dazu bei https://tkp.at/2023/06/02/us-spionage-trojaner-auf-iphones-entdeckt-kaspersky-und-russischer-geheimdienst/

Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3uv Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8424-20230609-spionage-software-auf-iphone.htm

セキュリティ研究者は、再起動イベントを保存するシステム ログ ファイルである Shutdown.log をチェックすることで、侵害された Apple モバイル デバイス上で有名なスパイウェア Pegasus、Reign、および Predator による感染を発見できる可能性があることを発見しました。 Kaspersky は、Shutdown.log ファイルの分析プロセスを自動化し、評価しやすい方法でマルウェア感染の潜在的な兆候を認識するのに役立つ Python スクリプトをリリースしました。 Shutdown.log はデバイスの再起動時に書き込まれ、プロセスの終了に必要な時間とその識別子 (PID) を記録します。 iShutdown スクリプト マルウェアが実行するプロセスの挿入と操作により、デバイスの再起動に測定可能な影響を与えるマルウェアは、侵害を検証するデジタル フォレンジック アーティファクトを残します。 暗号化された iOS バックアップやネットワーク トラフィックを調べるような標準的な手法と比較して、Shutdown.log ファイルははるかに簡単な分析方法を提供すると研究者らは述べています。 Kaspersky は、 3 つの Python スクリプトを公開しました。 研究者が iOS シャットダウン ログ ファイルから再起動データを確認できるようにする iShutdown と呼ばれる iShutdown_detect.py - ログ ファイルを含む Sysdiagnose アーカイブを分析します iShutdown_parse.py - tar アーカイブから Shutdown.log アーティファクトを抽出します。 iShutdown_stats.py - ログ ファイルから再起動統計を抽出します。 Shutdown.log ファイルには、侵害後に再起動が実行された場合にのみ、感染の兆候を含むデータが書き込まれるため、カスペルスキーでは、デバイスの感染を頻繁に再起動することを推奨しています。 「どれくらいの頻度で尋ねるかもしれませんか? まあ、それは状況によります! それはユーザーの脅威プロファイルによって異なります。数時間ごと、毎日、またはおそらく「重要なイベント」の前後。これは自由回答の質問として残しておきます。」 - カスペルスキー Kaspersky の GitHub リポジトリには、Python スクリプトの使用方法と出力例が含まれています。 ただし、結果を適切に評価するには、Python、iOS、ターミナル出力、およびマルウェア インジケーターについてある程度の知識が必要です。 再起動プロセスを遅らせるプロセスを強調表示する出力 (Kaspersky) Sysdiagnose ファイルは、iOS および iPadOS デバイスのトラブルシューティングに使用される 200 ～ 400 MB の .tar.gz アーカイブであり、ソフトウェアの動作、ネットワーク通信などに関する情報が含まれています。 カスペルスキーは当初、ペガサス スパイウェアに感染した iPhone を分析する手法を使用し、ログ内の感染指標を受け取りました。これは アムネスティ インターナショナルが開発したMVT ツール を使用して確認されました。 「この動作と、分析した他の Pegasus 感染との一貫性が確認されたため、感染分析をサポートする信頼できる法医学的成果物として機能すると信じています。」 - カスペルスキー 研究者らは、感染当日にユーザーがデバイスを再起動しなかった場合、この方法は失敗すると指摘している。 もう 1 つの観察結果は、Pegasus 関連のプロセスが手順を妨げた場合など、再起動が遅延したときにログ ファイルに記録されることです。 これは感染していない携帯電話でも発生する可能性がありますが、カスペルスキーの研究者は、過度と考えられる 4 回を超える遅延は、調査する必要があるログ異常であると考えています。 に感染した iPhone でこの方法をテストしたところ Reign スパイウェア 、研究者らはマルウェアの実行が Pegasus の場合と同じパス「/private/var/db/」��ら行われていることに気付きました。 Shurdown ログ ファイルに表示される同様のパスは、 Predator スパイウェアによってもよく使用されます。 議員やジャーナリストを標的とした これに基づいて、カスペルスキーの研究者は、ターゲットが十分な頻度で携帯電話を再起動する場合、ログファイルを使用することで「これらのマルウェア ファミリによる感染を特定できる可能性がある」と考えています。

iShutdown スクリプトは、iPhone 上の iOS スパイウェアの検出に役立ちます

Sophisticated iPhone Backdoor Campaign Revealed: Unprecedented Attack Exploits Undocumented Hardware Feature

In a recent revelation, researchers have unearthed startling details about a clandestine attack that infiltrated numerous iPhones for over four years, notably compromising the devices of employees from the Moscow-based cybersecurity firm, Kaspersky. The crux of these findings is centered on the attackers’ ability to achieve an unparalleled level of access by exploiting a vulnerability within an undocumented hardware feature—a knowledge confined to a select few, primarily Apple and chip suppliers like ARM Holdings.

The Intricacies of the Attack

Kaspersky researcher Boris Larin expressed astonishment at the sophistication exhibited by the exploit and the obscurity surrounding the hardware feature. Larin’s email underscored the advanced technical prowess of the assailants. He noted, “Our analysis hasn’t revealed how they became aware of this feature, but we’re exploring all possibilities, including accidental disclosures in past firmware or source code releases. They may also have stumbled upon it through hardware reverse engineering.”

Unanswered Questions and Ongoing Investigations

Despite a year-long intensive investigation, key questions persist. Larin highlighted the ongoing mystery surrounding the purpose of the hardware feature. Additionally, the researchers remain in the dark about whether this feature is an inherent component of the iPhone or if it’s enabled by a third-party hardware element, such as ARM’s CoreSight.

Mass Backdooring Campaign

The clandestine campaign, which purportedly breached iPhones of numerous individuals within diplomatic missions and embassies in Russia according to Russian officials, first came to light in June. Spanning over four years, the infections infiltrated devices via iMessage texts, deploying malware through a complex exploit chain without requiring any action from the receiver.

The Impact and Persisting Threat

The infected devices became hosts to comprehensive spyware, enabling the exfiltration of sensitive data like microphone recordings, photos, and geolocation to servers controlled by the attackers. Although reboots erased the infections, the assailants perpetuated their campaign by sending new malicious iMessage texts shortly after device restarts.

Critical Zero-Day Exploits and Subsequent Actions

Newly disclosed details shed light on the “Triangulation” malware and its installation campaign. The exploit capitalized on four critical zero-day vulnerabilities, programming flaws known to the attackers before Apple was aware of them. Apple has since addressed all four vulnerabilities, tracked as CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, and CVE-2023-41990, through patches.

Summing Up

The unveiling of this sophisticated infiltration underscores the evolving landscape of cyber threats, emphasizing the critical need for continuous vigilance and swift responses from tech companies to safeguard user data and devices against such advanced attacks. As investigations continue, researchers strive to unravel the intricacies of the exploit and fortify defenses against potential future threats.

Curious to learn more? Explore our articles on Enterprise Wired

Kaspersky Total Security

Protect your family – on PC, Mac, Android, iPhone & iPad With all their apps & devices – plus all the websites they visit – it takes a lot to protect your family from hackers, attackers and ransomware. https://find-your-software.com/kaspersky/total-security/

“Clickless” iOS exploits infect Kaspersky iPhones with never-before-seen malware

Source: https://arstechnica.com/information-technology/2023/06/clickless-ios-exploits-infect-kaspersky-iphones-with-never-before-seen-malware/

More info: https://eugene.kaspersky.com/2023/06/01/a-matter-of-triangulation/

Kaspersky discloses iPhone hardware feature vital in Operation Triangulation case

guess it's a loophole made for government's spying purpose

Kaspersky advierte a los primeros compradores del iPhone 16 sobre estafas en pedidos anticipados Manzana ha recientemente anunció la... https://ujjina.com/kaspersky-advierte-a-los-primeros-compradores-del-iphone-16-sobre-estafas-en-pedidos-anticipados/?feed_id=764737&_unique_id=66e8568f1b213

iPhone 16 serisi çıkmadan dolandırıcıları çıktı! Bunlara dikkat edin

Apple’ın merakla beklenen iPhone 16 serisi henüz piyasaya sürülmeden, siber suçlular şimdiden harekete geçti. Dolandırıcılar, iPhone 16 lansmanından faydalanarak tüketicileri sahte ön siparişler ve yanıltıcı teklifler ile hedef alıyor. Kaspersky uzmanları, bu yeni iPhone aldatmacasının nasıl işlediğini ve kullanıcıların bu tuzaklara nasıl düştüğünü paylaştı. iPhone 16 serisi için dolandırıcılar…

View On WordPress

#Ciberseguridad - Vulnerabilidad desconocida en iPhones utilizada en "Operation Triangulation"

El ataque APT fue descubierto a mediados de 2023 por Kaspersky. La nueva vulnerabilidad permite a los atacantes saltarse la protección de memoria en iOS 16.6 o versiones anteriores (Fuente Kaspersky Latam). El Equipo de Investigación y Análisis Global de Kaspersky (GReAT) revela una vulnerabilidad de hardware desconocida hasta ahora en los iPhones, que desempeñó un papel clave en los últimos…

View On WordPress

Erkennungs-Tool für Pegasus und andere Spyware

Das Global Research and Analysis Team (GReAT) von Kaspersky hat eine neue Erkennungsmethode für Pegasus und ähnlich ausgeklügelte iOS-Spyware entwickelt. Damit stellt der Cybersicherheitsanbieter auf Github ein öffentlich verfügbares Tool zum Infektionscheck zur Verfügung. Die Spyware Pegasus kam jüngst in Deutschland zum Einsatz. Um entsprechende Spyware-Infektionen einfacher zu identifizieren, haben die Kaspersky-Experten ein Selbstcheck-Tool für Nutzer entwickelt. Neben Pegasus werden auch die iOS-Spyware Reign und Predator erkannt. Die neue Erkennungsmethode konnten die Experten von Kaspersky entwickeln, da sie erkannten, dass Pegasus-Infektionen Spuren im Systemprotokoll „Shutdown.log“, das im Diagnosearchiv jedes mobilen iOS-Geräts enthalten ist, hinterlassen. Das Archiv enthält Informationen zu jedem Reboot-Vorgang, so dass Anomalien der Pegasus-Malware im Protokoll sichtbar werden, sobald ein infizierter Nutzer sein Gerät neu startet. Dazu gehören unter anderem, insbesondere bei der Pegasus-Spyware, „haftende“ Prozesse, die Neustarts verhindern, sowie Infektionsspuren, die von der Cybersicherheitscommunity entdeckt wurden. Pegasus hinterlässt Infektionsspuren Bei der Analyse der Shutdown.log von Pegasus-Infektionen fanden die Kaspersky-Experten den Infektionspfad „/private/var/db/“, der den Pfaden anderer iOS-Malware wie Reign und Predator entsprach. Die Kaspersky-Experten gehen davon aus, dass diese Protokolldatei das Potenzial birgt, Infektionen im Zusammenhang mit diesen Malware-Familien zu identifizieren. Basierend auf diesen Erkenntnissen wurde ein Selbstcheck-Tool für Nutzer entwickelt. Mit Hilfe des The-Python3-Skripts kann der Shutdown.log leichter extrahiert, analysiert und geparst werden. Das Tool ist frei auf Github für macOS, Windows und Linux verfügbar. „Die Analyse des Sysdiag Dump ist eine minimalinvasive und ressourcenschonende Methode, die sich auf systembasierte Artefakte stützt, um potenzielle iPhone-Infektionen zu identifizieren“, erklärt Maher Yamout, Lead Security Researcher im GReAT von Kaspersky. „Durch den Infektionsindikator aus diesem Protokoll und die Bestätigung der Infektion mit Hilfe der Verarbeitung anderer iOS-Artefakte durch das MVT (Mobile Verification Toolkit) wird das Protokoll nun Teil eines holistischen Ansatzes zur Untersuchung von iOS-Malwareinfektionen. Wir haben die Verhaltensübereinstimmung mit anderen analysierten Pegasus-Infektionen verifiziert, so dass wir davon ausgehen, dass es als zuverlässiges forensisches Artefakt zur Unterstützung der Infektionsanalyse dienen wird.“ Empfehlungen zum Schutz vor fortgeschrittener iOS-Spyware - Geräte täglich neustarten. Denn Untersuchungen von Amnesty International und Citizen Lab zufolge basiert Pegasus oft auf nicht persistenten Zero-Click-Zero-Day-Exploits. Ein regelmäßiger Neustart kann helfen, das Gerät zu bereinigen; Angreifer müssten es damit immer wieder neu infizieren. - Den Lockdown-Modus nutzen, da öffentliche Berichte diesem Erfolge beim Blockieren von iOS-Malware-Infektionen attestieren. iMessage und Facetime deaktivieren, die zu den am häufigsten ausgenutzten Diensten durch Hacker zählen, weshalb das Deaktivieren dieser das Risiko reduziert, von Zero-Click-Ketten infiziert zu werden. - Mobilgeräte regelmäßig updaten. Die neuesten iOS-Patches sollten umgehend installiert werden, da viele iOS-Exploit-Kits auf bereits gepatchte Schwachstellen abzielen. - Keine Links in Nachrichten öffnen, da Pegasus über 1-Click-Exploits per SMS, E-Mail oder Messenger verbreitet werden kann. - Regelmäßig Back-ups erstellen und Systemdiagnosen durchführen; Kaspersky-Tools können bei der Erkennung von iOS-Malware helfen.     Passende Artikel zum Thema Lesen Sie den ganzen Artikel

カスペルスキーは 1 日、管理職など複数の同社従業員が使用する iPhone で見つかったというスパイウェアの最初の分析結果を公表した (Nota Bene の記事、 Securelist の記事、 Ars Technica の記事、 HackRead の記事)。 カスペルスキーが「Triangulation」と名付けたスパイウェアは iMessage 添付ファイルを通じたゼロクリック攻撃によりインストールされるという。iOS の脆弱性を突いた攻撃はユーザーの操作を必要とせず、スパイウェアはひそかに個人情報をリモートサーバーへ送り始める。iOS の特質上、効果的にマルウェアを検出・除去可能なソフトウェアは存在しないが、カスペルスキーは同社製の SIEM ソリューション Kaspersky Unified Monitoring and Analysis Platform (KUMA)で社内の Wi-Fi ネットワークに接続した iPhone による怪しい挙動を検出したとのこと。 iOS の制限などもあって感染には持続性がなく、複数のデバイスのタイムラインは再起動後に感染を繰り返していたことを示しているそうだ。もっとも古い感染の痕跡は 2019 年のものだという。ユージン・カスペルスキー氏はこのスパイウェアに「Triangulation」と名付けた理由として、攻撃するシステムのソフトウェアとハードウェアのスペックを認識するために HTML5 の canvas エレメントによるフィンガープリンティング技術を用い、デバイスのメモリに黄色い三角形を描画するためだと説明している。なお、カスペルスキーでは同社が Triangulation の主要な��ーゲットではないと確信しているとのことだ。 これとは別にロシア連邦保安庁 (FSB) は同日、Appleのモバイル機器の脆弱性を用いた米情報機関の偵察活動をロシア連邦警護庁 (FSO) とともに確認したと発表した。FSB では米企業である Apple が米国の情報機関、特に米国家安全保障局 (NSA) と緊密に連携していることや、ユーザーの個人情報の機密性を守るという Apple のポリシーが虚偽であることを示すものだなどと主張している (FSB の発表、 The Register の記事、 Neowin の記事、 Reuters の記事)。

カスペルスキー、同社従業員のiPhoneで見つかったスパイウェアの最初の分析結果を公表 | スラド アップル

iShutdown: scripts claves para identificar software espía en tu iPhone

Investigadores de seguridad han descubierto que es posible detectar infecciones de los conocidos softwares espía Pegasus, Reign y Predator en dispositivos Apple. Esto se logra examinando el archivo Shutdown.log, que registra los eventos de reinicio del sistema. Para facilitar este análisis, Kaspersky ha desarrollado tres scripts en Python. Estos scripts automatizan la revisión del archivo…

View On WordPress