Los investigadores presentaron el miércoles nuevos hallazgos intrigantes sobre un ataque que durante cuatro años secuestró docenas, si no miles, de iPhones, muchos de ellos pertenecientes a empleados de la firma de seguridad Kaspersky, con sede en Moscú. Hallazgo clave: atacantes desconocidos pudieron lograr un nivel de acceso sin precedentes al explotar una vulnerabilidad en una característica de hardware no documentada que pocos, si es que alguno, fuera de Apple y los proveedores de chips como ARM Holdings conocían.
«La sofisticación del exploit y la oscuridad de la funcionalidad sugieren que los atacantes tenían capacidades técnicas avanzadas», escribió en un correo electrónico el investigador de Kaspersky, Boris Larin. “Nuestro análisis no reveló cómo se dieron cuenta de esta característica, pero estamos explorando todas las posibilidades, incluida la divulgación accidental en versiones anteriores de firmware o código fuente. Es posible que también lo hayan encontrado mediante ingeniería inversa de hardware.
Cuatro días cero explotados durante años
Otras preguntas siguen sin respuesta, escribe Larin, incluso después de unos 12 meses de intensa investigación. Aparte de cómo los atacantes descubrieron esta característica de hardware, los investigadores aún no saben cuál es exactamente su propósito. Tampoco está claro si la característica es una parte nativa del iPhone o si está habilitada por un componente de hardware de terceros como CoreSight de ARM.
La masiva campaña de puerta trasera, que según funcionarios del gobierno ruso también infectó los iPhones de miles de personas que trabajan en misiones diplomáticas y embajadas en Rusia, fue revelada en junio. Durante un período de al menos cuatro años, dijo Kaspersky, las infecciones se transmitieron en mensajes de texto de iMessage que instalaban malware a través de una compleja cadena de explotación sin que el destinatario tuviera que realizar ninguna acción.
Los dispositivos fueron infectados con un completo software espía que, entre otras cosas, transmitía grabaciones de micrófonos, fotografías, geolocalización y otros datos sensibles a servidores controlados por los atacantes. Aunque las infecciones no sobrevivieron al reinicio, los atacantes desconocidos mantuvieron viva su campaña simplemente enviando a los dispositivos un nuevo texto malicioso de iMessage poco después de que se reiniciaran.
Nuevos detalles revelados el miércoles indican que «Triangulación», el nombre que Kaspersky le dio al malware y a la campaña que lo instaló, explotó cuatro vulnerabilidades críticas de día cero, lo que significa graves fallas de programación conocidas por los atacantes antes de que lo fueran. a Apple. Desde entonces, la compañía ha solucionado las cuatro vulnerabilidades, que se enumeran a continuación:
Además de afectar a los iPhone, estos días cero críticos y la característica secreta de hardware residían en Mac, iPods, iPads, Apple TV y Apple Watches. Además, los exploits recuperados por Kaspersky se desarrollaron intencionalmente para funcionar también en estos dispositivos. Apple también ha solucionado estas plataformas.
Detectar infecciones es extremadamente difícil, incluso para personas con experiencia forense avanzada. Para aquellos que quieran probar, hay disponible una lista de direcciones de Internet, archivos y otros indicadores de compromiso. aquí.
La misteriosa característica del iPhone resulta clave para el éxito de la triangulación
El nuevo detalle más intrigante es el objetivo de una característica de hardware previamente desconocida, que resultó esencial para la campaña de Operación Triangulación. Un día cero en la funcionalidad permitió a los atacantes eludir las funciones avanzadas. protecciones de memoria basadas en hardware diseñado para proteger la integridad del sistema del dispositivo incluso después de que un atacante haya adquirido la capacidad de alterar la memoria del núcleo subyacente. En la mayoría de las demás plataformas, una vez que los atacantes aprovechan con éxito una vulnerabilidad del kernel, tienen control total del sistema comprometido.
En los dispositivos Apple equipados con estas protecciones, estos atacantes aún no pueden realizar técnicas clave de post-explotación, como inyectar código malicioso en otros procesos o modificar el código del kernel o datos confidenciales del kernel. Esta poderosa protección se eludió mediante la explotación de una vulnerabilidad en la función secreta. La protección, rara vez derrotada por los exploits descubiertos hasta ahora, también está presente en los procesadores Apple M1 y M2.
Los investigadores de Kaspersky sólo descubrieron la función secreta del hardware después de meses de extensa ingeniería inversa de dispositivos infectados con triangulación. Durante el curso, se llamó la atención de los investigadores sobre los llamados registros de hardware, que proporcionan direcciones de memoria que permiten a los procesadores interactuar con componentes periféricos como USB, controladores de memoria y GPU. MMIO, abreviatura de Entradas/Salidas asignadas en memoria, permite al procesador escribir en el registro de hardware específico de un dispositivo específico.
Los investigadores descubrieron que varias de las direcciones MMIO utilizadas por los atacantes para eludir las protecciones de la memoria no fueron identificadas en ningún caso. documentación del árbol de dispositivos, que sirve como referencia para los ingenieros que crean hardware o software para iPhone. Incluso después de que los investigadores examinaron más a fondo los códigos fuente, las imágenes del kernel y el firmware, todavía no pudieron encontrar ninguna mención de las direcciones MMIO.
![](data:image/svg+xml;charset=utf-8,<svg height="680" width="550" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
![](data:image/svg+xml;charset=utf-8,<svg height="680" width="560" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
![](data:image/svg+xml;charset=utf-8,<svg height="680" width="349" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
![](data:image/svg+xml;charset=utf-8,<svg height="680" width="548" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
![](data:image/svg+xml;charset=utf-8,<svg height="545" width="551" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
