El miércoles, investigadores presentaron nuevos e intrigantes hallazgos en torno a un ataque que a lo largo de cuatro años afectó por la puerta trasera a docenas, si no miles, de iPhones, muchos de los cuales pertenecían a empleados de la firma de seguridad Kaspersky, con sede en Moscú. El principal de los descubrimientos: los atacantes desconocidos pudieron alcanzar un nivel de acceso sin precedentes explotando una vulnerabilidad en una característica de hardware no documentada que pocos o nadie fuera de Apple y proveedores de chips como ARM Holdings conocían.
“La sofisticación del exploit y la oscuridad de la característica sugieren que los atacantes tenían capacidades técnicas avanzadas”, escribió en un correo electrónico el investigador de Kaspersky, Boris Larin. “Nuestro análisis no ha revelado cómo se dieron cuenta de esta característica, pero estamos explorando todas las posibilidades, incluida la divulgación accidental en versiones anteriores de firmware o código fuente. Es posible que también lo hayan descubierto mediante ingeniería inversa de hardware”.
Cuatro días cero explotados durante años
Otras preguntas siguen sin respuesta, escribió Larin, incluso después de unos 12 meses de intensa investigación. Además de cómo los atacantes conocieron la característica del hardware, los investigadores aún no saben cuál es exactamente su propósito. También se desconoce si la función es una parte nativa del iPhone o está habilitada por un componente de hardware de terceros, como CoreSight de ARM.
La campaña masiva de puertas traseras, que según funcionarios rusos también infectó los iPhones de miles de personas que trabajaban dentro de misiones diplomáticas y embajadas en Rusia, según funcionarios del gobierno ruso, salió a la luz en junio. En un lapso de al menos cuatro años, dijo Kaspersky, las infecciones se transmitieron en mensajes de texto de iMessage que instalaban malware a través de una compleja cadena de exploits sin requerir que el receptor tomara ninguna medida.
Los dispositivos fueron infectados con software espía con todas las funciones que, entre otras cosas, transmitían grabaciones de micrófonos, fotografías, geolocalización y otros datos confidenciales a servidores controlados por el atacante. Aunque las infecciones no sobrevivieron al reinicio, los atacantes desconocidos mantuvieron viva su campaña simplemente enviando a los dispositivos un nuevo texto malicioso de iMessage poco después de que se reiniciaran.
Una nueva infusión de detalles divulgados el miércoles decía que la “Triangulación” -el nombre que Kaspersky le dio tanto al malware como a la campaña que lo instaló- explotaba cuatro vulnerabilidades críticas de día cero, lo que significa graves fallas de programación que los atacantes conocían antes de ser conocidos. a Apple. Desde entonces, la compañía ha solucionado las cuatro vulnerabilidades, cuyo seguimiento es el siguiente:
Además de afectar a los iPhone, estos críticos días cero y la función secreta del hardware residían en Mac, iPods, iPads, Apple TV y Apple Watches. Es más, los exploits que Kaspersky recuperó fueron desarrollados intencionalmente para funcionar también en esos dispositivos. Apple también ha parcheado esas plataformas.
Detectar infecciones es un gran desafío, incluso para personas con experiencia forense avanzada. Para aquellos que quieran probar, se incluye una lista de direcciones de Internet, archivos y otros indicadores de compromiso. aquí.
La función misteriosa del iPhone resulta fundamental para el éxito de Triangulación
El nuevo detalle más intrigante es el objetivo de la característica de hardware hasta ahora desconocida, que resultó ser fundamental para la campaña de Operación Triangulación. Un día cero en la función permitió a los atacantes eludir los ataques avanzados. protecciones de memoria basadas en hardware diseñado para salvaguardar la integridad del sistema del dispositivo incluso después de que un atacante obtuviera la capacidad de alterar la memoria del núcleo subyacente. En la mayoría de las demás plataformas, una vez que los atacantes aprovechan con éxito una vulnerabilidad del kernel, tienen control total del sistema comprometido.
En los dispositivos Apple equipados con estas protecciones, dichos atacantes aún no pueden realizar técnicas clave de post-explotación, como inyectar código malicioso en otros procesos o modificar el código del kernel o datos confidenciales del kernel. Esta poderosa protección se eludió mediante la explotación de una vulnerabilidad en la función secreta. La protección, que rara vez ha sido derrotada en los exploits encontrados hasta la fecha, también está presente en las CPU M1 y M2 de Apple.
Los investigadores de Kaspersky se enteraron de la función secreta del hardware solo después de meses de extensa ingeniería inversa de dispositivos que habían sido infectados con Triangulación. En el curso, los investigadores se centraron en los llamados registros de hardware, que proporcionan direcciones de memoria para que las CPU interactúen con componentes periféricos como USB, controladores de memoria y GPU. Los MMIO, abreviatura de Entradas/Salidas asignadas en memoria, permiten que la CPU escriba en el registro de hardware específico de un dispositivo periférico específico.
Los investigadores descubrieron que varias de las direcciones MMIO que los atacantes utilizaron para eludir las protecciones de la memoria no fueron identificadas en ninguna documentación del árbol de dispositivos, que actúa como referencia para los ingenieros que crean hardware o software para iPhone. Incluso después de que los investigadores buscaron más a fondo los códigos fuente, las imágenes del kernel y el firmware, todavía no pudieron encontrar ninguna mención de las direcciones MMIO.