Han surgido detalles sobre un implante de software espía que se entrega a los dispositivos iOS como parte de una campaña llamada Operation Triangulation, que ha estado activa desde 2019 y de la cual se desconoce el actor de amenazas exacto detrás de la misma (¿NSA?).
Kaspersky, que descubrió la operación después de convertirse en uno de los objetivos a principios de año, dijo que el malware tiene una vida útil de 30 días, después de lo cual se desinstala automáticamente a menos que los atacantes extiendan el período de tiempo. La compañía rusa de ciberseguridad ha llamado a la puerta trasera TriangleDB.
"El implante se implementa después de que los atacantes obtengan privilegios de root en el dispositivo iOS de destino al explotar una vulnerabilidad del kernel", dijeron los investigadores de Kaspersky en un nuevo informe publicado hoy. "Se implementa en la memoria, lo que significa que todos los rastros del implante se pierden cuando se reinicia el dispositivo. Por lo tanto, si la víctima reinicia su dispositivo, los atacantes tienen que volver a infectarlo enviando un iMessage con un archivo adjunto malicioso, iniciando así todo cadena de explotación de nuevo".
La Operación Triangulación implica el uso de exploits sin clic a través de la plataforma iMessage, lo que permite que el software espía controle por completo el dispositivo y los datos del usuario. "El ataque se lleva a cabo utilizando un iMessage invisible con un archivo adjunto malicioso que, utilizando una serie de vulnerabilidades en el sistema operativo iOS, se ejecuta en un dispositivo e instala software espía. La implementación del spyware está completamente oculta y no requiere ninguna acción por parte del usuario".
TriangleDB, escrito en Objective-C, forma el quid de la estructura encubierta. Está diseñado para establecer conexiones cifradas con un servidor de comando y control (C2) y enviar periódicamente una baliza de latido que contiene los metadatos del dispositivo.
El servidor, por su parte, responde a los mensajes de latido con uno de los 24 comandos que hacen posible volcar los datos del llavero de iCloud y cargar módulos Mach-O adicionales en la memoria para recopilar datos confidenciales. Esto incluye contenido de archivos, geolocalización, aplicaciones iOS instaladas y procesos en ejecución, entre otros. Las cadenas de ataque culminan con el borrado del mensaje inicial para tapar las huellas.
Un examen más detallado del código fuente ha revelado algunos aspectos inusuales en los que los autores del malware se refieren al descifrado de cadenas como "unmunging" y asignan nombres de acuerdo a terminología utilizada en bases de datos: archivos (record), procesos (schema), servidor C2 (DB Server) y geolocalización (DB Status).
Otro aspecto destacable es la presencia de la rutina "populateWithFieldsMacOSOnly". Si bien este método no se menciona en ninguna parte en el implante de iOS, la convención de nomenclatura plantea la posibilidad de que TriangleDB también pueda usarse como arma para apuntar a dispositivos macOS.
"El implante solicita múltiples derechos (permisos) del sistema operativo", dijeron los investigadores de Kaspersky. "Algunos de ellos no se utilizan en el código, como el acceso a la cámara, el micrófono y la libreta de direcciones, o la interacción con dispositivos a través de Bluetooth. Por lo tanto, las funcionalidades otorgadas por estos derechos pueden implementarse en módulos".
Actualmente no se sabe quién está detrás de la campaña y cuáles son sus objetivos finales. Apple, en una declaración anterior dijo que "nunca ha trabajado con ningún gobierno para insertar una puerta trasera en ningún producto de Apple y nunca lo hará".
El gobierno ruso, sin embargo, ha señalado a los EE.UU., acusándolo de entrar en "varios miles" de dispositivos Apple pertenecientes a suscriptores nacionales y diplomáticos extranjeros como parte de lo que afirmó ser una operación de reconocimiento.
El sofisticado implante, llamado TriangleDB, opera únicamente en la memoria, sin dejar rastros de la actividad que sigue al reinicio del dispositivo. También viene con diversas capacidades de recopilación y seguimiento de datos. Esto incluyeinteractuar con el sistema de archivos del dispositivo (incluida la creación, modificación, exfiltración y eliminación de archivos), administrar procesos (listado y terminación), extraer elementos del llavero para recopilar las credenciales de la víctima y monitorear la geolocalización de la víctima, entre otros.
Kaspersky también lanzó una utilidad llamada "triangle_check" que las organizaciones pueden usar para escanear las copias de seguridad de los dispositivos iOS y buscar cualquier signo de compromiso en sus dispositivos.
Actualizaciones de Apple
Apple lanzó el miércoles una serie de actualizaciones para iOS, iPadOS, macOS, watchOS y el navegador Safari para abordar un conjunto de fallas que, según dijo, se están explotando activamente.
Esto incluye un par de Zero-Days que han sido armados para la campaña de vigilancia móvil de Operation Triangulation:
- CVE-2023-32434: una vulnerabilidad de desbordamiento de enteros en el Kernel que podría ser explotada por una aplicación maliciosa para ejecutar código arbitrario con privilegios de kernel.
- CVE-2023-32435: una vulnerabilidad de corrupción de memoria en WebKit que podría conducir a la ejecución de código arbitrario al procesar contenido web especialmente diseñado.
El fabricante de iPhone dijo que es consciente de que los dos problemas "pueden haber sido explotados activamente contra versiones de iOS lanzadas antes de iOS 15.7", y le dio crédito a los investigadores de Kaspersky Georgy Kucherin, Leonid Bezvershenko y Boris Larin por informarlos.
El aviso se produce cuando el proveedor ruso de seguridad analizó el implante de spyware utilizado en la campaña de ataque de Zero-Clic dirigida a dispositivos iOS a través de iMessages y que contenían un archivo adjunto integrado con un exploit para una vulnerabilidad de ejecución remota de código (RCE).
El código de explotación también está diseñado para descargar componentes adicionales para obtener privilegios de root en el dispositivo de destino, después de lo cual se implanta una puerta trasera en la memoria y el iMessage inicial se elimina para ocultar el rastro de la infección.
Apple también parcheó un tercer Zero-Day, identificado como CVE-2023-32439, que se informó de forma anónima y podría provocar la ejecución de código arbitrario al procesar contenido web malicioso.
La falla explotada activamente, descrita como un problema de confusión de tipos, se ha solucionado con controles mejorados. Las actualizaciones están disponibles para las siguientes plataformas:
- iOS 16.5.1 y iPadOS 16.5.1: iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores
- iOS 15.7.7 y iPadOS 15.7.7: iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (1.ª generación), iPad Air 2, iPad mini (4.ª generación) y iPod touch (7.ª generación)
- macOS Ventura 13.4.1, macOS Monterey 12.6.7 y macOS Big Sur 11.7.8
- watchOS 9.5.2 - Apple Watch Series 4 y posteriores
- watchOS 8.8.1: Apple Watch Series 3, Series 4, Series 5, Series 6, Series 7 y SE, y
- Safari 16.5.1: Mac con macOS Monterey
Con la última ronda de correcciones, Apple ha resuelto un total de nueve fallas de día cero en sus productos desde principios de año.