3 pontos por GN⁺ 2023-12-28 | 1 comentários | Compartilhar no WhatsApp
  • Operation Triangulation foi uma campanha que infectou iPhones apenas via iMessage por pelo menos 4 anos, e acredita-se que tenha afetado iPhones de funcionários da Kaspersky e de integrantes de missões diplomáticas e embaixadas na Rússia
  • A infecção começava com um anexo malicioso do iMessage processado mesmo sem qualquer ação do usuário, e era mantida com o envio de uma nova mensagem sempre que a infecção desaparecia após uma reinicialização
  • A Kaspersky analisou que essa cadeia usou 4 zero-days, e a Apple corrigiu CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 e CVE-2023-41990
  • O avanço mais importante envolvia uma vulnerabilidade em um recurso de hardware não documentado, que permitia aos atacantes contornar a proteção de memória baseada em hardware do iPhone e superar restrições contra modificação do kernel e injeção de código malicioso
  • O autor do ataque não foi identificado, e, sobre suspeitas de envolvimento da NSA e da Apple, a Kaspersky disse não haver evidências, enquanto a Apple negou as alegações de colaboração

Como funcionava a infecção do Operation Triangulation

  • Operation Triangulation é o nome dado pela Kaspersky ao malware e à campanha que o instalou
  • A infecção era entregue por mensagens do iMessage, e uma cadeia complexa de exploits era executada sem que o destinatário precisasse fazer qualquer coisa
  • O spyware instalado enviava dados sensíveis para um servidor controlado pelos atacantes
    • gravações do microfone
    • fotos
    • localização geográfica
    • outros dados sensíveis
  • A infecção não sobrevivia a uma reinicialização, mas os atacantes mantinham o comprometimento enviando um novo iMessage malicioso logo após o aparelho reiniciar
  • Detectar a infecção era extremamente difícil até mesmo para pessoas com conhecimento avançado em perícia forense
  • A lista de indicadores de infecção pode ser consultada na página Triangulation validators/modules da Kaspersky

Os 4 zero-days e o alcance do impacto

  • A Kaspersky analisou que o Triangulation usou 4 vulnerabilidades zero-day críticas
  • A Apple corrigiu as 4 vulnerabilidades
  • Essas vulnerabilidades e o recurso secreto de hardware também existiam em várias outras plataformas da Apple além do iPhone
    • Mac
    • iPod
    • iPad
    • Apple TV
    • Apple Watch
  • Os exploits recuperados pela Kaspersky foram desenvolvidos intencionalmente para funcionar nesses dispositivos também, e a Apple corrigiu essas plataformas
  • A Apple se recusou a comentar o caso

Recurso de hardware não documentado

  • Um recurso de hardware desconhecido visado pelos atacantes foi identificado como elemento central do Operation Triangulation
  • A vulnerabilidade nesse recurso teve papel decisivo ao permitir que os atacantes burlassem a proteção de memória baseada em hardware dos dispositivos Apple
  • Esse mecanismo de proteção foi projetado para impedir as ações abaixo mesmo depois que se obtivesse a capacidade de manipular a memória do kernel
    • injetar código malicioso em outros processos
    • modificar código do kernel
    • alterar dados sensíveis do kernel
  • Os pesquisadores da Kaspersky só conseguiram identificar esse recurso após meses de engenharia reversa em dispositivos infectados pelo Triangulation
  • Alguns endereços MMIO usados pelos atacantes não estavam presentes no device tree, que descreve a configuração de hardware de forma legível por máquina
  • Mesmo após investigação adicional de código-fonte, imagens de kernel e firmware, não foi encontrada qualquer menção a esses endereços MMIO
  • Boris Larin resumiu que os atacantes contornavam a proteção de memória baseada em hardware escrevendo dados desejados, o endereço físico de destino e um hash dos dados em registradores de hardware desconhecidos
  • A Kaspersky sugeriu que esse recurso poderia ter sido destinado a depuração e testes por engenheiros da Apple ou para uso em fábrica, ou até incluído por engano, mas não conseguiu determinar como os atacantes descobriram isso, já que o firmware não usa esse recurso

Fluxo da cadeia de exploits

  • A cadeia primeiro alcançava execução remota de código explorando CVE-2023-41990, uma vulnerabilidade na implementação de fontes TrueType da Apple
    • essa etapa usava return oriented programming e jump oriented programming para contornar defesas modernas contra exploits
    • as permissões de execução ficavam no nível mínimo de privilégios do sistema
  • A etapa seguinte mirava o kernel do iOS
    • CVE-2023-32434 é uma vulnerabilidade de corrupção de memória no XNU
    • CVE-2023-38606 é uma vulnerabilidade em registradores MMIO secretos que permite contornar a Page Protection Layer
  • Depois disso, a cadeia usava CVE-2023-32435, uma vulnerabilidade no Safari, para executar shellcode
  • O shellcode gerado então usava novamente CVE-2023-32434 e CVE-2023-38606 para obter acesso root e concluir a instalação do payload final de spyware
  • O resumo da cadeia feito pela Kaspersky inclui as seguintes características
    • o anexo malicioso do iMessage era processado pelo app sem ser exibido ao usuário
    • incluía execução remota de código usando ADJUST, um comando TrueType exclusivo da Apple
    • o exploit em JavaScript era ofuscado, tinha cerca de 11.000 linhas e usava a maior parte do código para análise e manipulação de memória do JavaScriptCore e do kernel
    • usava o recurso de depuração DollarVM do JavaScriptCore para manipular a memória do JavaScriptCore e executar funções de API nativas
    • foi projetado para dar suporte tanto a iPhones antigos quanto novos, incluindo bypass de Pointer Authentication Code para explorar modelos mais recentes
    • o exploit de kernel da etapa final estava no formato mach object file, tinha grande porte e muitas funcionalidades, incluía vários utilitários pós-exploração, mas a maioria não era usada

Autor do ataque e dúvidas em aberto

  • A Kaspersky não conseguiu determinar como os atacantes descobriram o recurso de hardware não documentado
  • Boris Larin está avaliando possibilidades como exposição acidental em divulgações antigas de firmware ou código-fonte, ou engenharia reversa de hardware
  • O propósito exato desse recurso ainda é desconhecido
  • Também não foi confirmado se esse recurso faz parte da configuração padrão do iPhone ou se foi ativado por um componente de hardware de terceiros, como ARM CoreSight
  • Em junho de 2023, o National Coordination Center for Computer Incidents da Rússia afirmou que o ataque fazia parte de uma campanha mais ampla da NSA, e o FSB alegou que a Apple colaborou com a NSA
  • Um porta-voz da Apple negou a alegação de colaboração
  • Os pesquisadores da Kaspersky entendem que não há evidências que sustentem envolvimento da NSA ou da Apple
  • Larin disse que as características únicas do Operation Triangulation não correspondem aos padrões conhecidos de campanhas já observadas e, por isso, no momento não é possível atribuí-lo de forma conclusiva a um ator de ameaça conhecido
  • Larin afirmou que, embora a Kaspersky já tenha descoberto e relatado mais de 30 zero-days explorados no mundo real em produtos da Adobe, Apple, Google e Microsoft, esta cadeia é o ataque mais sofisticado que ele já viu

1 comentários

 
GN⁺ 2023-12-28
Comentários do Hacker News
  • Os comentários, em sua maioria, foram movidos para cá: Operation Triangulation: The last (hardware) mystery - https://news.ycombinator.com/item?id=38783112 - dezembro de 2023, 71 comentários
  • Este artigo, escrito por Dan Goodin, da Ars Technica, é realmente excelente. O texto tem uma leitura em divulgação gradual, e mesmo sem ser programador deu para acompanhar até o fim
    • O Dan é realmente excelente. Já fui entrevistado por ele antes, e fiquei impressionado com a atenção dele em entender as nuances técnicas e transmiti-las com precisão para o público em geral
      Ele definitivamente não é do tipo que vive de caçar cliques, como muita gente que encontrei no jornalismo de tecnologia, e a Ars tem sorte de contar com ele
  • Também queria linkar um artigo com os detalhes técnicos do principal exploit. Ele mostra como contornar a proteção de memória usando registradores de hardware da GPU não documentados: https://securelist.com/operation-triangulation-the-last-hard...
  • Também vale consultar o artigo da Ars Technica de junho de 2023: https://arstechnica.com/information-technology/2023/06/click...