El miércoles, investigadores presentaron nuevos e intrigantes hallazgos en torno a un ataque que, durante cuatro años, tuvo como objetivo docenas, si no miles, de iPhones, muchos de los cuales pertenecían a empleados de la firma de seguridad Kaspersky, con sede en Moscú. El principal de los hallazgos: los atacantes desconocidos pudieron lograr un nivel de acceso sin precedentes, explotando una vulnerabilidad en una característica de hardware no documentada que pocos o nadie fuera de Apple y proveedores de chips como ARM Holdings conocían.

«La sofisticación del exploit y la oscuridad de la característica sugieren que los atacantes tenían capacidades técnicas avanzadas», escribió en un correo electrónico el investigador de Kaspersky, Boris Larin. “Nuestro análisis no reveló cómo se dieron cuenta de esta característica, pero estamos explorando todas las posibilidades, incluida la divulgación accidental en versiones anteriores de firmware o código fuente. Es posible que también hayan descubierto esto mediante ingeniería inversa de hardware”.

Cuatro días cero explorados durante años

Otras preguntas siguen sin respuesta, escribió Larin, incluso después de unos 12 meses de intensa investigación. Además de cómo los atacantes conocieron la característica del hardware, los investigadores aún no saben cuál es exactamente su propósito. También se desconoce si la función es una parte nativa del iPhone o está habilitada por un componente de hardware de terceros, como CoreSight de ARM.

La campaña masiva de puerta trasera, que según funcionarios rusos también infectó los iPhones de miles de personas que trabajaban en misiones diplomáticas y embajadas en Rusia, según funcionarios del gobierno ruso, salió a la luz en junio. Durante un período de al menos cuatro años, dijo Kaspersky, las infecciones se transmitieron en mensajes de texto de iMessage que instalaban malware a través de una compleja cadena de exploits sin requerir que el destinatario tomara ninguna medida.

Como resultado, los dispositivos fueron infectados con un completo software espía que, entre otras cosas, transmitía grabaciones de micrófonos, fotografías, geolocalizaciones y otros datos sensibles a los servidores controlados por el atacante. Aunque las infecciones no sobrevivieron al reinicio, los atacantes desconocidos mantuvieron viva su campaña simplemente enviando a los dispositivos un nuevo texto malicioso de iMessage poco después de que se reiniciaran.

Una nueva infusión de detalles publicada el miércoles decía que la “Triangulación” (el nombre que Kaspersky dio al malware y a la campaña que lo instaló) explotó cuatro vulnerabilidades críticas de día cero, lo que significa graves fallas de programación que los invasores conocían antes de ser conocidos. para Apple. Desde entonces, la compañía ha solucionado las cuatro vulnerabilidades, cuyo seguimiento es el siguiente:

Además de afectar a los iPhone, estos días cero críticos y la función secreta de hardware residían en Mac, iPods, iPads, Apple TV y Apple Watches. Además, los exploits recuperados por Kaspersky fueron desarrollados intencionalmente para funcionar también en estos dispositivos. Apple también ha solucionado estas plataformas. Apple se negó a hacer comentarios para este artículo.

Detectar infecciones es un gran desafío, incluso para personas con conocimientos forenses avanzados. Para aquellos que quieran probarlo, hay una lista de direcciones de Internet, archivos y otros indicadores de compromiso. aquí.

La misteriosa función del iPhone es fundamental para el éxito de la Triangulación

El nuevo detalle más intrigante es el objetivo del recurso de hardware previamente desconocido que resultó fundamental para la campaña de Operación Triangulación. Un día cero en la función permitió a los atacantes eludir protecciones de memoria basadas en hardware diseñado para proteger la integridad del sistema del dispositivo incluso después de que un atacante haya obtenido la capacidad de alterar la memoria del núcleo subyacente. En la mayoría de las demás plataformas, una vez que los atacantes explotan con éxito una vulnerabilidad del kernel, tendrán control total del sistema comprometido.

En los dispositivos Apple equipados con estas protecciones, estos atacantes aún no pueden realizar importantes técnicas posteriores a la explotación, como inyectar código malicioso en otros procesos o modificar el código del kernel o datos confidenciales del kernel. Esta poderosa protección se eludió mediante la explotación de una vulnerabilidad en la función secreta. La protección, que rara vez ha sido derrotada en los exploits encontrados hasta la fecha, también está presente en las CPU M1 y M2 de Apple.

Los investigadores de Kaspersky sólo se enteraron de la función secreta del hardware después de meses de extensa ingeniería inversa de dispositivos infectados mediante triangulación. En el curso, la atención de los investigadores se centró en los registros de hardware, que proporcionan direcciones de memoria para que las CPU interactúen con componentes periféricos como USB, controladores de memoria y GPU. Los MMIO, abreviatura de Entradas/Salidas asignadas en memoria, permiten que la CPU escriba en el registro de hardware específico de un dispositivo periférico específico.

Los investigadores descubrieron que varias direcciones MMIO que los atacantes utilizaban para eludir las protecciones de la memoria no fueron identificadas en ninguna de las llamadas árbol de dispositivos, una descripción legible por máquina de un conjunto específico de hardware que puede resultar útil para la ingeniería inversa. Incluso después de que los investigadores buscaron códigos fuente, imágenes del kernel y firmware, todavía no pudieron encontrar ninguna mención de las direcciones MMIO.