La firma de seguridad Kaspersky afirma que numerosos iPhones pertenecientes a sus empleados fueron hackeados por partes desconocidas mediante una campaña de hacking denominada «Triangulation». Curiosamente, esta campaña de hacking solo fue posible gracias a características misteriosas y no documentadas de los procesadores basados en ARM de Apple.
Investigadores presentaron el miércoles 27 de diciembre hallazgos interesantes sobre un ataque que, durante más de cuatro años, introdujo puertas traseras en docenas, si no miles, de iPhones, muchos de los cuales pertenecían a empleados de la firma de seguridad con sede en Moscú, Kaspersky.
Entre los descubrimientos más destacados: los atacantes desconocidos lograron alcanzar un nivel sin precedentes de acceso al explotar una vulnerabilidad en una característica de hardware no documentada, de la que pocos, fuera de Apple y proveedores de chips como ARM Holdings, tenían conocimiento.
«La sofisticación del exploit y la opacidad de la característica sugieren que los atacantes tenían capacidades técnicas avanzadas», escribió el investigador de Kaspersky, Boris Larin, en un correo electrónico.
«Nuestro análisis no ha revelado cómo se enteraron de esta característica, pero estamos explorando todas las posibilidades, incluyendo divulgación accidental en versiones anteriores de firmware o código fuente».
También podrían haberlo descubierto a través de ingeniería inversa de hardware.
Otras preguntas permanecen sin respuesta, escribió Larin, incluso después de unos 12 meses de investigación intensiva. Además de cómo los atacantes se enteraron de la característica de hardware, los investigadores aún no saben cuál es exactamente su propósito.
También se desconoce si la característica es parte nativa del iPhone o si está habilitada por un componente de hardware de terceros como CoreSight de ARM.
La campaña de hacking masiva de inserción de backdoors, que según funcionarios rusos también infectó los iPhones de miles de personas que trabajaban en misiones diplomáticas y embajadas en Rusia, según funcionarios del gobierno ruso, salió a la luz en junio.
A lo largo de al menos cuatro años, según Kaspersky, las infecciones se entregaron a través de mensajes de iMessage que instalaban malware mediante una cadena de exploits compleja sin requerir que el receptor tomara ninguna acción.
Con esto, los dispositivos se infectaron con spyware completo que, entre otras cosas, transmitía grabaciones de micrófono, fotos, geolocalización y otros datos sensibles a servidores controlados por el atacante.
Aunque las infecciones no sobrevivían a un reinicio, los atacantes desconocidos mantenían su campaña activa simplemente enviando a los dispositivos un nuevo mensaje de iMessage malicioso poco después de reiniciarlos.
Una nueva revelación de detalles hecha el miércoles señaló que «Triangulation», el nombre que Kaspersky dio tanto al malware como a la campaña que lo instaló, explotó cuatro vulnerabilidades críticas de día cero, lo que significa fallas de programación graves que eran conocidas por los atacantes antes de que Apple tuviera conocimiento de ellas.
La campaña de hacking Triangulation se basa en una cadena de infección increíblemente compleja con cuatro exploits de día cero.
La infección comienza con un PDF malicioso que utiliza un exploit (CVE-2023-41990) en la fuente TrueType para ejecutar código limitado.
También aprovecha una falla de corrupción de memoria (CVE-2023-32434) y una vulnerabilidad en Safari que permite que el malware ejecute código de shell (CVE-2023-32435).
Pero nada de esto habría podido vulnerar la seguridad de Apple si no fuera por CVE-2023-38606.
La última vulnerabilidad aprovecha el «secreto especial» de Apple.
Kaspersky le llevó meses de ingeniería inversa comprender lo que sucedía con Triangulation porque el malware aparecía a pesar de las protecciones de memoria basadas en hardware de Apple.
Esta característica debería bloquear el acceso del malware a la memoria activa y al código del kernel, lo que puede detener una infección en su camino.
Sin embargo, la campaña de hacking Triangulation puede eludir eso y obtener control total del teléfono al acceder a las Entradas/Salidas con Memoria Mapeada no documentadas (MMIO, por sus siglas en inglés).
Kaspersky especula que Apple podría haber utilizado este sistema para depuración durante la ingeniería o en la fábrica, pero también le dio a Triangulation una forma de superar la seguridad de Apple.
Los investigadores no pueden descartar que esta característica haya quedado habilitada por error.
Además de afectar a iPhones, estos críticos días cero y la función de hardware secreta residían en Macs, iPods, iPads, Apple TVs y Apple Watches.
Además, los exploits recuperados por Kaspersky fueron desarrollados intencionalmente para funcionar en esos dispositivos también. Apple ha parcheado esas plataformas también.
La función misteriosa del iPhone resulta fundamental para el éxito de la campaña de hacking Triangulation.
El detalle más intrigante es el apuntar a la hasta ahora desconocida característica de hardware, que resultó ser fundamental para la campaña de la Operación Triangulation.
Un día cero en esa característica permitió a los atacantes eludir avanzadas protecciones de memoria basadas en hardware diseñadas para salvaguardar la integridad del sistema del dispositivo incluso después de que un atacante obtuviera la capacidad de manipular la memoria del kernel subyacente.
En la mayoría de las otras plataformas, una vez que los atacantes explotan con éxito una vulnerabilidad del kernel, tienen control total del sistema comprometido.
En los dispositivos de Apple equipados con estas protecciones, dichos atacantes aún no pueden llevar a cabo técnicas clave de post-explotación, como inyectar código malicioso en otros procesos o modificar el código del kernel o datos sensibles del kernel.
Esta protección poderosa fue eludida al explotar una vulnerabilidad en la función secreta. La protección, que rara vez ha sido superada en exploits encontrados hasta la fecha, también está presente en las CPUs M1 y M2 de Apple.
Los investigadores de Kaspersky descubrieron la función de hardware secreta solo después de meses de extensa ingeniería inversa de dispositivos que se habían infectado con Triangulation.
En el proceso, la atención de los investigadores se centró en lo que se conocen como registros de hardware, que proporcionan direcciones de memoria para que las CPUs interactúen con componentes periféricos como USB, controladores de memoria y GPUs.
Los MMIO, abreviatura de Entradas/Salidas con Memoria Mapeada, permiten que la CPU escriba en el registro de hardware específico de un dispositivo periférico específico.
Los investigadores descubrieron que varias de las direcciones MMIO que los atacantes utilizaron para eludir las protecciones de memoria no estaban identificadas en ningún árbol de dispositivos, una descripción legible por máquina de un conjunto particular de hardware que puede ser útil para ingenieros inversos.
Incluso después de que los investigadores examinaron más a fondo los códigos fuente, las imágenes del kernel y el firmware, aún no pudieron encontrar ninguna mención de las direcciones MMIO.
Dado que Apple no conocía estas fallas, los atacantes pudieron aprovecharlas para obtener acceso a nivel bajo a los dispositivos.
Un ataque de esta sofisticación sugiere la participación de actores estatales, que tendrían los recursos para identificar y mantener en secreto valiosas vulnerabilidades del sistema como Triangulation.
Los atacantes tuvieron la suficiente moderación como para utilizar Triangulation durante años antes de que Kaspersky se diera cuenta.
Después de la revelación de Kaspersky, el Centro Nacional de Coordinación de Incidentes Informáticos de Rusia señaló con el dedo a la Agencia de Seguridad Nacional de los Estados Unidos, pero no proporcionó evidencia para respaldar la afirmación.
Sin embargo, esto no sería algo sin precedentes.
La agencia afirmó que Triangulation se encontró en miles de iPhones pertenecientes a personal diplomático y de embajadas.
Quienquiera que estuviera detrás de Triangulation, ahora tendrá que encontrar un nuevo juguete.
Apple ha parcheado las vulnerabilidades en las actualizaciones de software recientes. Sin embargo, otros podrían intentar usar los exploits ahora que son públicos.
Mantén tus dispositivos actualizados, y Triangulation no debería ser una preocupación.