- Operation Triangulation foi uma campanha que infectou iPhones apenas via iMessage por pelo menos 4 anos, e acredita-se que tenha afetado iPhones de funcionários da Kaspersky e de integrantes de missões diplomáticas e embaixadas na Rússia
- A infecção começava com um anexo malicioso do iMessage processado mesmo sem qualquer ação do usuário, e era mantida com o envio de uma nova mensagem sempre que a infecção desaparecia após uma reinicialização
- A Kaspersky analisou que essa cadeia usou 4 zero-days, e a Apple corrigiu CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 e CVE-2023-41990
- O avanço mais importante envolvia uma vulnerabilidade em um recurso de hardware não documentado, que permitia aos atacantes contornar a proteção de memória baseada em hardware do iPhone e superar restrições contra modificação do kernel e injeção de código malicioso
- O autor do ataque não foi identificado, e, sobre suspeitas de envolvimento da NSA e da Apple, a Kaspersky disse não haver evidências, enquanto a Apple negou as alegações de colaboração
Como funcionava a infecção do Operation Triangulation
- Operation Triangulation é o nome dado pela Kaspersky ao malware e à campanha que o instalou
- A infecção era entregue por mensagens do iMessage, e uma cadeia complexa de exploits era executada sem que o destinatário precisasse fazer qualquer coisa
- O spyware instalado enviava dados sensíveis para um servidor controlado pelos atacantes
- gravações do microfone
- fotos
- localização geográfica
- outros dados sensíveis
- A infecção não sobrevivia a uma reinicialização, mas os atacantes mantinham o comprometimento enviando um novo iMessage malicioso logo após o aparelho reiniciar
- Detectar a infecção era extremamente difícil até mesmo para pessoas com conhecimento avançado em perícia forense
- A lista de indicadores de infecção pode ser consultada na página Triangulation validators/modules da Kaspersky
Os 4 zero-days e o alcance do impacto
- A Kaspersky analisou que o Triangulation usou 4 vulnerabilidades zero-day críticas
- A Apple corrigiu as 4 vulnerabilidades
- Essas vulnerabilidades e o recurso secreto de hardware também existiam em várias outras plataformas da Apple além do iPhone
- Mac
- iPod
- iPad
- Apple TV
- Apple Watch
- Os exploits recuperados pela Kaspersky foram desenvolvidos intencionalmente para funcionar nesses dispositivos também, e a Apple corrigiu essas plataformas
- A Apple se recusou a comentar o caso
Recurso de hardware não documentado
- Um recurso de hardware desconhecido visado pelos atacantes foi identificado como elemento central do Operation Triangulation
- A vulnerabilidade nesse recurso teve papel decisivo ao permitir que os atacantes burlassem a proteção de memória baseada em hardware dos dispositivos Apple
- Esse mecanismo de proteção foi projetado para impedir as ações abaixo mesmo depois que se obtivesse a capacidade de manipular a memória do kernel
- injetar código malicioso em outros processos
- modificar código do kernel
- alterar dados sensíveis do kernel
- Os pesquisadores da Kaspersky só conseguiram identificar esse recurso após meses de engenharia reversa em dispositivos infectados pelo Triangulation
- Alguns endereços MMIO usados pelos atacantes não estavam presentes no device tree, que descreve a configuração de hardware de forma legível por máquina
- Mesmo após investigação adicional de código-fonte, imagens de kernel e firmware, não foi encontrada qualquer menção a esses endereços MMIO
- Boris Larin resumiu que os atacantes contornavam a proteção de memória baseada em hardware escrevendo dados desejados, o endereço físico de destino e um hash dos dados em registradores de hardware desconhecidos
- A Kaspersky sugeriu que esse recurso poderia ter sido destinado a depuração e testes por engenheiros da Apple ou para uso em fábrica, ou até incluído por engano, mas não conseguiu determinar como os atacantes descobriram isso, já que o firmware não usa esse recurso
Fluxo da cadeia de exploits
- A cadeia primeiro alcançava execução remota de código explorando CVE-2023-41990, uma vulnerabilidade na implementação de fontes TrueType da Apple
- essa etapa usava return oriented programming e jump oriented programming para contornar defesas modernas contra exploits
- as permissões de execução ficavam no nível mínimo de privilégios do sistema
- A etapa seguinte mirava o kernel do iOS
- CVE-2023-32434 é uma vulnerabilidade de corrupção de memória no XNU
- CVE-2023-38606 é uma vulnerabilidade em registradores MMIO secretos que permite contornar a Page Protection Layer
- Depois disso, a cadeia usava CVE-2023-32435, uma vulnerabilidade no Safari, para executar shellcode
- O shellcode gerado então usava novamente CVE-2023-32434 e CVE-2023-38606 para obter acesso root e concluir a instalação do payload final de spyware
- O resumo da cadeia feito pela Kaspersky inclui as seguintes características
- o anexo malicioso do iMessage era processado pelo app sem ser exibido ao usuário
- incluía execução remota de código usando ADJUST, um comando TrueType exclusivo da Apple
- o exploit em JavaScript era ofuscado, tinha cerca de 11.000 linhas e usava a maior parte do código para análise e manipulação de memória do JavaScriptCore e do kernel
- usava o recurso de depuração DollarVM do JavaScriptCore para manipular a memória do JavaScriptCore e executar funções de API nativas
- foi projetado para dar suporte tanto a iPhones antigos quanto novos, incluindo bypass de Pointer Authentication Code para explorar modelos mais recentes
- o exploit de kernel da etapa final estava no formato mach object file, tinha grande porte e muitas funcionalidades, incluía vários utilitários pós-exploração, mas a maioria não era usada
Autor do ataque e dúvidas em aberto
- A Kaspersky não conseguiu determinar como os atacantes descobriram o recurso de hardware não documentado
- Boris Larin está avaliando possibilidades como exposição acidental em divulgações antigas de firmware ou código-fonte, ou engenharia reversa de hardware
- O propósito exato desse recurso ainda é desconhecido
- Também não foi confirmado se esse recurso faz parte da configuração padrão do iPhone ou se foi ativado por um componente de hardware de terceiros, como ARM CoreSight
- Em junho de 2023, o National Coordination Center for Computer Incidents da Rússia afirmou que o ataque fazia parte de uma campanha mais ampla da NSA, e o FSB alegou que a Apple colaborou com a NSA
- Um porta-voz da Apple negou a alegação de colaboração
- Os pesquisadores da Kaspersky entendem que não há evidências que sustentem envolvimento da NSA ou da Apple
- Larin disse que as características únicas do Operation Triangulation não correspondem aos padrões conhecidos de campanhas já observadas e, por isso, no momento não é possível atribuí-lo de forma conclusiva a um ator de ameaça conhecido
- Larin afirmou que, embora a Kaspersky já tenha descoberto e relatado mais de 30 zero-days explorados no mundo real em produtos da Adobe, Apple, Google e Microsoft, esta cadeia é o ataque mais sofisticado que ele já viu
1 comentários
Comentários do Hacker News
Ele definitivamente não é do tipo que vive de caçar cliques, como muita gente que encontrei no jornalismo de tecnologia, e a Ars tem sorte de contar com ele