Descobrindo o recurso oculto de “triangulação” usado por espiões para se infiltrar em iPhones durante anos
De acordo com investigadores da Kaspersky, uma recente campanha de espionagem, que durou vários anos e afetou numerosos indivíduos que trabalham para missões diplomáticas e embaixadas na Rússia, bem como dentro da sua própria organização, utilizou vulnerabilidades de dia zero nos dispositivos de hardware da Apple, especificamente iPhones. Esta atividade maliciosa veio à tona sob o nome de “Triangulação”, depois que a Apple lançou um patch para essas vulnerabilidades em junho do ano passado, marcando a descoberta inicial desta operação.
Um dos factores críticos relativos a este incidente envolve o facto de os perpetradores terem conseguido uma entrada significativa em dispositivos altamente complexos, capitalizando uma funcionalidade de hardware não relatada, que se acredita ser virtualmente desconhecida fora dos limites dos ecossistemas Apple ou ARM. A natureza complexa da sequência de ataque e a exploração bem sucedida da vulnerabilidade indicam que a parte responsável possui conhecimentos técnicos excepcionalmente avançados.
O início de uma sequência de ataque normalmente começa com a capitalização de uma falha de segurança conhecida como CVE-2023-41990, que pertence à implementação da fonte Apple TrueType. Alegadamente, entidades maliciosas enviaram um anexo do iMessage através de uma plataforma de mensagens específica que é processada pelo aplicativo de software alvo em questão, sem qualquer notificação ou indicação prévia apresentada ao usuário final. Ao empregar esta estratégia, os perpetradores são capazes de executar comandos de execução remota de código, mesmo que possuam níveis limitados de autorização do sistema.
Este código JavaScript específico, embora funcione de forma imperceptível para os utilizadores, visa aceder à memória de um dispositivo tirando partido de duas vulnerabilidades – nomeadamente, CVE-2023-32434 e CVE-2023-38606. Este último tem atraído uma atenção significativa de especialistas em segurança cibernética e iremos aprofundar as suas implicações em breve.
Ao chegar a esta fase do ataque, os perpetradores ocultaram qualquer evidência de irregularidade e iniciaram um processo furtivo do Safari para aproveitar a vulnerabilidade CVE-2023-32435. Isso permitiu que eles executassem códigos adicionais, permitindo-lhes obter privilégios de root e, posteriormente, instalar spyware, que tem sido referido pelos especialistas como “Triangulação”. Capaz de transmitir informações confidenciais, como gravações de microfones, fotografias, dados de localização e muito mais, este software malicioso possui funcionalidades abrangentes.
O spyware não possui atributos persistentes e não suporta a reinicialização do dispositivo devido à sua natureza transitória. No entanto, seus recursos furtivos empregados durante a sequência de ataque, juntamente com a falta de intervenção necessária do usuário, permitem a reinfecção na reinicialização por meios automatizados, como o reenvio de um anexo do iMessage.
As vulnerabilidades de dia zero mencionadas acima foram identificadas como predominantes em vários dispositivos Apple, incluindo Mac, iPad, Apple TV e Apple Watch. Felizmente, cada problema respectivo foi solucionado no período do mês anterior.
O aspecto digno de nota que atraiu o interesse de vários pesquisadores é a vulnerabilidade CVE-2023-38606, que permitiu que adversários contornassem as salvaguardas de hardware normalmente empregadas para proteger regiões sensíveis em dispositivos Apple. Essas medidas de segurança visam impedir o acesso não autorizado à memória do dispositivo e limitar o controle de um invasor, mesmo que ele tenha conseguido entrar por meio de vulnerabilidades relatadas anteriormente, como CVE-2023-32434.
Apesar da implementação de medidas de segurança, como Address Space Layout Randomization (ASLR) e Data Execution Prevention (DEP), os agentes de ameaças conseguiram contorná-las usando um recurso de hardware não documentado e não utilizado encontrado no System-on-a-Chip (SoC) da Apple. ). Isso é conseguido gravando dados em um endereço físico específico que contém informações sobre o endereço de destino e valores de hash associados a componentes de hardware desconhecidos no chip.
Os investigadores postulam que esses atributos podem ter sido incorporados propositalmente pelos engenheiros da Apple para fins de depuração ou teste ou, alternativamente, podem ser resquícios de implementação acidental. Lamentavelmente, uma vez que estas funcionalidades não são utilizadas pelo firmware, não há meios de determinar como os agentes maliciosos adquiriram proficiência na sua utilização. No entanto, nossa equipe só conseguiu descobrir essa funcionalidade oculta depois de realizar intrincados esforços de engenharia reversa que duraram vários meses, embora permaneçamos incertos sobre sua origem e se ela constitui um aspecto integrado dos dispositivos Apple ou é facilitada por um elemento de hardware externo como CoreSight da ARM.
A engenharia reversa pode ter sido o meio pelo qual os invasores se familiarizaram com essas características; no entanto, os pesquisadores estão atualmente explorando cenários alternativos, incluindo a possibilidade de revelação não intencional em iterações anteriores de firmware ou código-fonte.
Boris Larin, especialista em segurança da Kaspersky, reconheceu durante o 37º Congresso de Comunicação do Caos, realizado em Hamburgo, que descobrir esta vulnerabilidade específica apresentou dificuldades únicas devido à intrincada arquitetura do ecossistema iOS da Apple. O exame meticuloso exigiu uma compreensão exaustiva dos componentes de hardware e software, o que provou ser um esforço trabalhoso e demorado. Esta descoberta sublinha ainda mais a noção de que mesmo as salvaguardas de hardware de última geração podem sucumbir a adversários determinados que exploram capacidades específicas que lhes permitem contornar tais defesas.
Actualmente, é incerto se as características únicas observadas na Operação Triangulação podem ser definitivamente atribuídas a um grupo adversário específico, uma vez que não se alinham com as de quaisquer campanhas previamente identificadas.
*️⃣ Link da fonte: