El miércoles, los investigadores presentaron nuevos hallazgos interesantes sobre un ataque que, hace más de cuatro años, vulneró docenas, si no miles, de iPhones, muchos de los cuales pertenecían a empleados de la firma de seguridad con sede en Moscú, Kaspersky. Entre los descubrimientos más destacados: los atacantes desconocidos lograron obtener un nivel de acceso sin precedentes al explotar una vulnerabilidad en una característica de hardware no documentada que pocas personas fuera de Apple y proveedores de chips como ARM Holdings conocían.
“La sofisticación del exploit y la oscuridad de la característica sugieren que los atacantes tenían capacidades técnicas avanzadas”, escribió el investigador de Kaspersky, Boris Larin, en un correo electrónico. “Nuestro análisis no ha revelado cómo se enteraron de esta característica, pero estamos explorando todas las posibilidades, incluida la divulgación accidental en lanzamientos anteriores de firmware o código fuente. También podrían haberlo descubierto a través de ingeniería inversa de hardware”.
Cuatro vulnerabilidades explotadas durante años
Otras preguntas siguen sin respuesta, escribió Larin, incluso después de unos 12 meses de investigación intensiva. Además de cómo los atacantes se enteraron de la característica de hardware, los investigadores aún no saben cuál es su objetivo precisamente. Tampoco se sabe si la función es parte nativa del iPhone o habilitada por un componente de hardware de terceros, como el CoreSight de ARM.
La campaña de backdooring masivo, que según funcionarios rusos también infectó los iPhones de miles de personas que trabajaban en misiones diplomáticas y embajadas en Rusia, según funcionarios del gobierno ruso, salió a la luz en junio. Durante al menos cuatro años, Kaspersky dijo, las infecciones se entregaron a través de mensajes de iMessage que instalaron malware a través de una cadena de exploits compleja sin requerir que el receptor realizará ninguna acción.
Con esto, los dispositivos se infectaron con un spyware completo que, entre otras cosas, transmitió grabaciones de micrófono, fotos, geolocalización y otros datos sensibles a servidores controlados por los atacantes. Aunque las infecciones no sobrevivieron a un reinicio, los atacantes desconocidos mantuvieron su campaña enviando a los dispositivos un nuevo texto malicioso de iMessage poco después de reiniciar los dispositivos.
Una nueva serie de detalles reveló el miércoles que “Triangulation”, el nombre que Kaspersky dio tanto al malware como a la campaña que lo instaló, explotó cuatro vulnerabilidades críticas zero-day, lo que significa graves fallas de programación que eran conocidas por los atacantes antes de que lo supiera Apple. Apple ya ha parcheado las cuatro vulnerabilidades, que se rastrean como:
Además de afectar a los iPhones, estas vulnerabilidades críticas zero-day y la función de hardware secreta residían en Macs, iPods, iPads, Apple TVs y Apple Watches. Además, los exploits recuperados por Kaspersky se desarrollaron intencionalmente para funcionar en esos dispositivos también. Apple también ha parcheado esas plataformas. Apple se negó a hacer comentarios para este artículo.
La detección de infecciones es extremadamente desafiante, incluso para personas con experiencia forense avanzada. Para aquellos que deseen intentarlo, hay una lista de direcciones de Internet, archivos y otros indicadores de compromiso aquí.
La función misteriosa del iPhone resulta clave para el éxito de Triangulation
El detalle más intrigante es el targeting de la hasta ahora desconocida característica de hardware, que resultó ser clave para la campaña Operation Triangulation. Un zero-day en la función permitió a los atacantes pasar por alto protecciones avanzadas de memoria basadas en hardware diseñadas para salvaguardar la integridad del sistema del dispositivo incluso después de que un atacante obtuviera la capacidad de manipular la memoria del kernel subyacente. En la mayoría de otras plataformas, una vez que los atacantes explotan con éxito una vulnerabilidad del kernel, tienen control total del sistema comprometido.
En dispositivos Apple equipados con estas protecciones, tales atacantes todavía no son capaces de realizar técnicas clave posteriores a la explotación, como inyectar código malicioso en otros procesos o modificar el código del kernel o datos sensibles del kernel. Esta potente protección se eludió explotando una vulnerabilidad en la función secreta. La protección, que rara vez ha sido derrotada en exploits encontrados hasta la fecha, también está presente en las CPU M1 y M2 de Apple.
Los investigadores de Kaspersky descubrieron la función de hardware secreta solo después de meses de ingeniería inversa intensiva de dispositivos infectados con Triangulation. Durante el proceso, la atención de los investigadores se centró en lo que se conocen como registros de hardware, que proporcionan direcciones de memoria para que las CPU interactúen con componentes periféricos como USB, controladores de memoria y GPUs. Los MMIO, abreviatura de Memory-mapped Input/Outputs, permiten a la CPU escribir en el registro de hardware específico de un dispositivo periférico específico.
Los investigadores descubrieron que varias de las direcciones MMIO que usaron los atacantes para sortear las protecciones de memoria no estaban identificadas en ningún árbol de dispositivos, una descripción legible por máquinas de un conjunto particular de hardware que puede ser útil para los ingenieros inversos. Incluso después de que los investigadores escudriñaron aún más los códigos fuente, las imágenes del kernel y el firmware, todavía no pudieron encontrar ninguna mención de las direcciones MMIO.