Kaspersky, nota azienda di sicurezza russa, ha mosso alcune pesanti accuse nei confronti di Apple e del governo statunitense, la società sarebbe stata colpita da un attacco informatico avanzato che ha utilizzato exploit clickless per infettare gli iPhone di diversi dipendenti, con lo scopo di raccogliere registrazioni microfoniche, foto, geolocalizzazione e altri dati.

Secondo l’azienda gli attacchi informatici facevano parte di una campagna dell’Agenzia per la sicurezza nazionale degli Stati Uniti (NSA) che ha infettato diverse migliaia di iPhone appartenenti a persone all’interno di missioni diplomatiche e ambasciate in Russia, in nazioni post-sovietiche, in Israele e in Cina. Tale tesi è supportata anche dall’FSB, il servizio di sicurezza federale russo, che accusa Apple di aver collaborato con l’NSA per spiare i diplomatici russi.

Un exploit clickless avrebbe infettato gli iPhone di diverse personalità russe di rilievo, nonché dei funzionari di Kaspersky

Stando a quanto condiviso, il malware utilizzato per condurre la campagna di spionaggio sarebbe stato utilizzati nel corso degli ultimi 4 anni e sarebbe stato veicolato attraverso messaggi iMessage che allegavano un file dannoso, in grado di sfruttare una o più vulnerabilità (non è chiaro se alcune zero day) senza che gli utenti dovessero intraprendere alcuna azione.

I dispositivi interessati sarebbero stati infettati con una “piattaforma APT (Advanced Persistent Threat) completa” con risorse quasi illimitate, una volta installato il malware APT, il messaggio di testo iniziale veniva eliminato. Di seguito i dettagli del funzionamento del malware in questione:

L’attacco viene effettuato utilizzando un iMessage invisibile con un allegato dannoso che, sfruttando una serie di vulnerabilità nel sistema operativo iOS, viene eseguito sul dispositivo e installa spyware. La distribuzione dello spyware è completamente nascosta e non richiede alcuna azione da parte dell’utente. Inoltre, lo spyware trasmette silenziosamente anche informazioni private a server remoti: registrazioni di microfoni, foto da messaggistica istantanea, geolocalizzazione e dati su una serie di altre attività del proprietario del dispositivo infetto. L’attacco viene eseguito nel modo più discreto possibile, tuttavia, il fatto dell’infezione è stato rilevato da Kaspersky Unified Monitoring and Analysis Platform (KUMA), una soluzione SIEM nativa per la gestione delle informazioni e degli eventi; il sistema ha rilevato un’anomalia nella nostra rete proveniente dai dispositivi Apple. Ulteriori indagini del nostro team hanno mostrato che diverse dozzine di iPhone dei nostri dipendenti sono stati infettati da un nuovo spyware tecnologicamente estremamente sofisticato che abbiamo soprannominato “Triangolazione”.

Le prime tracce delle infezioni da Triangolazione risalgono al 2019 e, a giugno 2023, gli attacchi erano ancora in corso, limitatamente alle versioni di iOS 15.7 o inferiori; è interessante notare come il malware non sia tecnicamente in grado di sopravvivere ad un riavvio del sistema, ma stando a quanto condiviso in diverse occasioni le vittime hanno ricevuto di nuovo exploit zero-click dopo il riavvio del proprio dispositivo.

L’FSB e Kaspersky hanno dunque accusato Apple e l’NSA, sostenendo di avere “scoperto un’operazione di ricognizione da parte dei servizi di intelligence americani effettuata utilizzando dispositivi mobili Apple”, che avrebbe coinvolto “diverse migliaia di apparecchi telefonici”.

Kaspersky ha dichiarato che “le informazioni ricevute dai servizi segreti russi testimoniano la stretta collaborazione della società americana Apple con la comunità di intelligence nazionale, in particolare l’NSA statunitense, e confermano che la politica dichiarata di garantire la riservatezza dei dati personali degli utenti di Apple non è vera”, senza però fornire ulteriori dettagli o prove a sostegno delle affermazioni.

Apple dal canto suo, attraverso l’email di un dirigente, ha negato ogni accusa, affermando: “Non abbiamo mai lavorato con nessun governo per inserire una backdoor in qualsiasi prodotto Apple e non lo faremo mai”. L’Agenzia per la sicurezza nazionale degli Stati Uniti non ha commentato le accuse.

Kaspersky ha infine commentato: “Siamo ben consapevoli di lavorare in un ambiente molto aggressivo e abbiamo sviluppato adeguate procedure di risposta agli incidenti. Grazie alle misure adottate, l’azienda funziona normalmente, i processi aziendali e i dati degli utenti non sono interessati e la minaccia è stata neutralizzata”.

Potrebbe interessarti anche: La carta d’identità elettronica non funziona, ma gli hacker non c’entrano (risolto)