Das russische Softwareunternehmen Kaspersky hat nach eigenen Angaben eine besonders ausgeklügelte Schadsoftware entdeckt, mit der iPhones angegriffen werden. Gefunden habe man die bis dato unbekannte Malware, weil damit Mobiltelefone des eigenen Managements ausspioniert wurden, schreibt Firmenchef Eugene Kaspersky in einem Blogeintrag. Darin spricht er von einer gezielten Cyberattacke, die man "Operation Triangulation" getauft habe. In einem weiteren Artikel tragen mehrere Angestellte des Unternehmens die gesammelten Informationen zusammen und geben Tipps dafür, wie man selbst nach Spuren der Attacke suchen könne. Bei Kaspersky selbst sei der Angriff abgewehrt worden, der Betrieb laufe normal weiter.

Infektion am Nutzer vorbei

Entdeckt wurde die Attacke demnach dank der Überwachung des WLAN-Traffics bei Kaspersky selbst. Dabei seien verdächtige Aktivitäten mehrerer iPhones aufgefallen. Die Spuren der Angriffe seien dann erst durch die Inspektion von Backups zutage gefördert worden, auf den Geräten selbst war keine hinreichende Analyse möglich. Auf diesem Weg habe man nachgestellt, wie der Angriff abgelaufen sein dürfte und welche Spuren er hinterlässt. Die Malware verhindere unter anderem, Updates aufzuspielen. Kann das iPhone also keine Updates mehr installieren, sei das ein deutliches Anzeichen für eine Infektion. Die aktuellste angreifbare Version ist demnach iOS 15.7, die im vergangenen September veröffentlicht wurde. Man habe Apple informiert, seit Februar gebe es einen Patch.

Wie Eugene Kaspersky persönlich ausführt, haben die Angriffe "so diskret wie möglich" mit einer infizierten iMessage begonnen. Die habe einen bösartigen Anhang enthalten, der verschiedene Lücken in iOS zur Infektion ausgenutzt habe. Dafür sei keine Interaktion am Gerät nötig gewesen, die Spyware wird also auch installiert, wenn die Nachricht überhaupt nicht geöffnet wird. Von einem Command&Control-Server werde dann die eigentliche Spyware heruntergeladen und installiert. Danach würde die iMessage und der Anhang gelöscht. Die Malware sei nicht persistent, Geräte seien aber nach einem Neustart erneut infiziert worden. Die ältesten Spuren stammen demnach aus dem Jahr 2019 und aktuell laufe die Attacke weiter. Über eine Deaktivierung von iMessage könne man sich schützen.

Kaspersky hat demnach bislang keinen Weg gefunden, die Spyware zu entfernen, ohne dass dabei Nutzerdaten auf dem infizierten Gerät verlorengehen. Stattdessen müsse man das iPhone auf die Werkseinstellungen zurücksetzen, die jüngste iOS-Version installieren und das gesamte Betriebssystem neu aufsetzen. Spuren eines Angriffs lassen sich demnach auch nur in Backup-Dateien nachweisen, die mit dem Mobile Verification Toolkit analysiert werden können. Informationen zur Spurensuche gibt es bei Kasperskys Securelist, dort gibt es auch eine Auflistung der Domains, die zur Kontaktaufnahme mit dem Command&Control-Server genutzt wurden. Bei Kaspersky geht man demnach nicht davon aus, dass man das hauptsächliche Ziel der Attacke sei.

Kaspersky schreibt nicht, wer hinter dem Angriff vermutet wird, für derartig ausgeklügelte Malware kommen dem Sicherheitsunternehmen zufolge aber nur wenige Verdächtige infrage. Insgesamt erinnert das beschriebene Vorgehen an bei staatlichen Akteuren beliebte Malware wie Pegasus der israelischen NSO Group. Auffällig ist derweil noch, dass die Veröffentlichung von Kaspersky genau am selben Tag erfolgt wie eine explosive Behauptung des FSB. Der russische Inlandsgeheimdienst hat Apple darin vorgeworfen, dem US-Geheimdienst NSA mit speziellen Schwachstellen in iOS beim Ausspionieren von Mobiltelefonen einflussreicher Russen und ausländischer Diplomaten geholfen zu haben. In beiden Fällen geht es ausschließlich um iPhones.

(mho)