A mitad de año, Kaspersky descubrió una campaña de amenaza persistente avanzada (APT) dirigida a dispositivos iOS. Bautizada como ‘Operation Triangulation’, esta campaña emplea un sofisticado método de distribución de exploits a través de iMessage que no necesita la interacción del usuario para realizar la infección y, en última instancia, hacerse con el control total del dispositivo y datos de la víctima. Dado las características particulares del ataque, la compañía expuso el caso en la Ekoparty Security Conference, la conferencia especializada más grande y prestigiosa de América Latina, que se llevó a cabo en Buenos Aires, del al 3 de noviembre.
“Este caso es único por diferentes razones. En primer lugar, casi siempre Kaspersky investiga ciberataques que se realizan contra nuestros clientes, pero en este caso hubo un atacante y nuestros compañeros de trabajo fueron las víctimas. Fue direccionado a nosotros”, señaló Assolini. “El otro factor único es que este tipo de infección de un Zero Day en iPhone con la versión más reciente de iOS son ataques bastante avanzados y carísimos”.
Debido a la complejidad del ataque y a la naturaleza cerrada del ecosistema iOS, un equipo de trabajo de Kaspersky dedicó una importante cantidad de tiempo y recursos para realizar un análisis técnico detallado. El informe final muestra que el ciberataque aprovechó cinco vulnerabilidades en iOS, cuatro de las cuales fueron clasificadas como desconocidas (día cero), y todas fueron parcheadas después de que los analistas de Kaspersky las presentaran a Apple.
“Este tipo de vulnerabilidad es muy cara”, afirmó el especialista, y compartió con este medio un posteo en X en el que se paga por una vulnerabilidad full chain RCE/LPE/SBX/ RCO en iOS o Andorid desde 200 mil dólares a 20 millones de dólares.
Due to high demand on the market, we're increasing payouts for top-tier mobile exploits. In the scope:
— iOS RCE/LPE/SBX/full chain — From $200,000 up to $20,000,000 (twenty millions).
— Android RCE/LPE/SBX/full chain — The same.As always, the end user is a non-NATO country.
— Operation Zero (@opzero_en) September 26, 2023
“En este ataque usaron 4 vulnerabilidades Zero Day de las que llamamos Zero Click, es decir que para que uno se infecte no es necesario hacer nada, y estas son de las más caras”, afirmó.
“El teléfono es el mejor aparato de espionaje que existe, porque el usuario lo lleva a todos lados, tiene todo ahí, correo, acceso a la banca, etc.”
Los expertos de la empresa identificaron un primer punto de entrada a través de una vulnerabilidad de la biblioteca de procesamiento de fuentes. La segunda, una vulnerabilidad extremadamente potente y explotable en el código de mapeo de memoria permitía acceder a la memoria física del dispositivo. Además, los atacantes aprovecharon otras dos vulnerabilidades para eludir las últimas funciones de seguridad del hardware del procesador de Apple. Los analistas también descubrieron que, aparte de la capacidad de infectar remotamente dispositivos Apple a través de iMessage sin interacción del usuario, los ciberdelincuentes también disponían de una plataforma para llevar a cabo ataques a través del navegador Safari. Esto llevó a descubrir y corregir una quinta vulnerabilidad.
Flujo completo del ataque
Assolini señaló que recrear el camino del ataque llegando hasta el vector inicial es “bastante difícil”. De hecho, mencionó que la Universidad de Toronto (Canadá) tiene un laboratorio especializado en ayudar a gente que es atacada, por ejemplo con por APTs a iPhones, y que en la mayoría de sus investigaciones no encuentran el vector.
“Nosotros encontramos el vector inicial que era un iMessage, en el cual había un PDF malicioso con un código Javascript de 11 mil líneas. Lo analizamos, encontramos que había un exploit del WebKit, el framework del navegador Safari, y también un exploit del kernel, explotando 3 vulnerabilidades críticas”, detalló Assolini. “De ahí el flujo sigue hasta la instalación del implante, el responsable para hacer el espionaje, que grababa el audio del micrófono y lo enviaba a un servidor”.
De acuerdo con la explicación del especialista de Kaspersky, también espiaba la ubicación geográfica y el Keychain (el sistema de gestión de contraseñas desarrollado por Apple), por lo que tenía acceso a todas contraseñas del usuario; además de un SQL module, para capturar los datos y ponerlos en una base de datos SQL”, es decir, un implante de espionaje completo.
“Este tipo de vulnerabilidad es bien rara y es un ataque muy difícil de impedirse porque es una vulnerabilidad que existe y el fabricante no lo sabe, entonces es 100% efectiva. Más en el caso de Apple, que no deja que los fabricantes de seguridad puedan crear productos para proteger la plataforma, y también limita el análisis, por lo que es bastante difícil hacer este análisis”, insistió.
“Nosotros como investigadores también somos blanco de ataques, es importante que la comunicad lo sepa”
Assolini destacó que, una vez analizado este ataque, Kaspersky publicó algunos detalles de la campaña de espionaje y disponibilizó una herramienta para que empresas y entidades de gobierno pudieran chequear sus teléfonos. También crearon una dirección de correo para que en caso de positivos se comunicaran con la compañía. “Hubo empresas especialmente en Europa que fueron atacadas, y encontramos una entidad gubernamental en Latinoamérica que también fue víctima de Operation Triangulation”, señaló, sin dar más detalles.
Kaspersky también se contactó en forma directa con Apple desde el principio. De hecho, el equipo de la marca de la manzana ha publicado oficialmente actualizaciones de seguridad que abordan cuatro vulnerabilidades de día cero descubiertas por analistas de Kaspersky (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990). Estas vulnerabilidades afectan a un amplio espectro de productos Apple, incluidos iPhones, iPods, iPads, dispositivos macOS, Apple TV y Apple Watch.
“No fue la primera vez, hubo campañas en el pasado que intentaron atacarnos; es la peor cosa que pueden hacer, porque vamos a analizarlo por completo y a exponerlo así como hicmos con muchas otras en el mundo.”
Recomendaciones
Assolini dijo que como en iPhone no se puede contar con una herramienta de protección, le sugieren a los usuarios que directamente desactiven el iMessage ya que “no es el primer caso en que se utiliza este vector y no será el último”. También realizar un reboot todos los días, ya que esta infección se carga solo en la memoria, por lo que al reiniciarse el smartphone, desaparece. Finalmente, destacó que es importante la instalación del parche publicado por Apple.
“Kaspersky es conocida por ser los primeros vendors en analizar a fondo estos ataques APT, que son muy direccionados y muy avanzados, muchas veces patrocinados por agencias de inteligencias o gobiernos, y cuando publicamos y hacemos ese tipo de análisis mucha gente no esta contenta con nosotros y esto resulta en intentos de ataques”, finalizó Assolini.
Para evitar ser víctima de un ataque dirigido por un actor de amenazas conocido o desconocido, los investigadores de Kaspersky recomiendan aplicar las siguientes medidas:
- Actualizar regularmente el sistema operativo, aplicaciones y software antivirus para parchear cualquier vulnerabilidad conocida.
- Tener cuidado con los correos electrónicos, mensajes o llamadas que soliciten información confidencial, así como verificar la identidad del remitente antes de compartir datos personales o hacer clic en enlaces sospechosos.
- Proporcionar al equipo SOC acceso a la inteligencia sobre amenazas (TI) más reciente. El Portal de Inteligencia frente a Amenazas de Kaspersky proporciona datos sobre ciberataques y perspectivas recopiladas por Kaspersky a lo largo de más de 20 años.
- Actualizar el equipo de ciberseguridad para hacer frente a las últimas ciberamenazas con la formación online de Kaspersky desarrollada por expertos de GReAT.
- Para la detección, análisis y reparación de incidentes a nivel de punto final, implementa soluciones EDR como Kaspersky Endpoint Detection and Response.
