El miércoles, investigadores presentaron nuevos e intrigantes hallazgos en torno a un ataque que afectó a docenas, si no miles, de iPhones durante cuatro años, muchos de ellos pertenecientes a empleados de la firma de seguridad Kaspersky, con sede en Moscú. El principal de los hallazgos: atacantes desconocidos pudieron explotar una vulnerabilidad en una característica de hardware no documentada para obtener un nivel de acceso sin precedentes, conocidos proveedores externos de chips como Apple y ARM Holdings.
«La sofisticación del exploit y la oscuridad de la característica sugieren que los atacantes tienen capacidades técnicas avanzadas», escribió en un correo electrónico el investigador de Kaspersky, Boris Laurin. “Nuestro análisis no revela cómo se dieron cuenta de esta característica, pero estamos investigando todas las posibilidades, incluida la exposición accidental en versiones anteriores de firmware o código fuente. También podrían haberlo encontrado mediante ingeniería inversa del hardware.
Cuatro días cero fueron explotados a lo largo de los años.
Otras preguntas siguen sin respuesta después de 12 meses de intensa investigación, escribió Laurin. Aparte de cómo los atacantes aprendieron la característica del hardware, los investigadores aún no saben cuál es su propósito. Tampoco está claro si esta característica es nativa del iPhone o está habilitada por componentes de hardware de terceros como CoreSight de ARM.
Según funcionarios del gobierno ruso, en junio salió a la luz una campaña masiva de puerta trasera que infectó los iPhones de miles de personas que trabajaban dentro de embajadas y embajadas en Rusia. Hace al menos cuatro años, dijo Kaspersky, las infecciones se entregaban en mensajes de texto de iMessage que instalaban malware a través de una compleja cadena de exploits que no requería ninguna acción por parte del destinatario.
Además, los dispositivos estaban infectados con software espía con todas las funciones que, entre otras cosas, enviaba grabaciones de micrófonos, fotografías, geolocalización y otros datos confidenciales a servidores controlados por atacantes. Aunque las infecciones no se reiniciaron, los atacantes desconocidos mantuvieron viva su campaña enviando un nuevo texto malicioso de iMessage a los dispositivos poco después de que se reiniciaran.
La nueva infusión de detalles publicada el miércoles muestra que el «triángulo» (el nombre que Kaspersky dio tanto al malware como a la campaña que lo instaló) explotó cuatro vulnerabilidades críticas de día cero, lo que significa graves fallas de programación conocidas por los atacantes antes de que se dieran cuenta. a ellos. Para Apple. La empresa ha solucionado cuatro vulnerabilidades, cuyo seguimiento se realiza de la siguiente manera:
Si bien no afectaban a los iPhone, estas funciones críticas de hardware secretas y de día cero existían en Mac, iPods, iPads, Apple TV y Apple Watches. Es más, los exploits que Kaspersky recuperó fueron creados deliberadamente para funcionar también en esos dispositivos. Apple también se apega a esas plataformas.
Diagnosticar infecciones puede ser un gran desafío, incluso para quienes tienen experiencia forense avanzada. Una lista de direcciones web, archivos y otros indicadores de compromiso, para aquellos que estén dispuestos a probar Aquí.
La funcionalidad misteriosa del iPhone es fundamental para el éxito del triángulo
El nuevo detalle más intrigante apunta a una característica de hardware previamente desconocida que fue crucial para la campaña de la Operación Triangulación. Un día cero en la función permitió a los atacantes eludir Avanzado Protección de memoria basada en hardware Diseñado para proteger la integridad del sistema del dispositivo incluso después de que un atacante obtenga la capacidad de alterar la memoria del núcleo subyacente. En la mayoría de las demás plataformas, si los atacantes aprovechan con éxito una vulnerabilidad del kernel, tienen control total del sistema comprometido.
En los dispositivos Apple con estas protecciones, dichos atacantes aún no pueden realizar técnicas clave de post-explotación, como inyectar código malicioso en otros procesos o modificar el código del kernel o los datos clave del kernel. Esta poderosa protección se elude explotando una vulnerabilidad en la función secreta. Las CPU M1 y M2 de Apple también contienen una seguridad que rara vez ha sido derrotada por los exploits descubiertos hasta la fecha.
Los investigadores de Kaspersky conocieron la funcionalidad secreta del hardware sólo después de una exhaustiva ingeniería inversa de los dispositivos afectados por el malware. En el curso se llamó la atención de los investigadores sobre los llamados registros de hardware, que proporcionan direcciones de memoria para que las CPU se comuniquen con componentes periféricos como USB, controladores de memoria y GPU. Los MMIO, abreviaturas de entradas/salidas asignadas en memoria, permiten que la CPU escriba en un registro de hardware específico de un dispositivo periférico específico.
Los investigadores descubrieron que muchas direcciones MMIO utilizadas por los atacantes para eludir la protección de la memoria no fueron reconocidas. Documentación del árbol de dispositivos, que sirve de referencia para los ingenieros que desarrollan hardware o software para iPhone. Después de que los investigadores buscaron más a fondo en los códigos fuente, imágenes del kernel y firmware, no pudieron encontrar ninguna referencia a las direcciones MMIO.
