junho 02, 2023

[Segurança] Spyware Triangulation em dispositivos iOS

A Kaspersky divulgou a descoberta de uma operação altamente sofisticada de espionagem que envolve a invasão silenciosa de dispositivos usando o sistema iOS, ou seja, nossos iPhones. No dia seguinte, o governo russo acusa formalmente os EUA de espionagem pelo mesmo motivo. A Kaspersky batizou esse spyware de "Triangulation".

Segundo um relatório publicado pela Kaspersky em 01 de junho e detalhado no portal Securelist, a empresa descobriu que seus funcionários de média e alta gestão estavam com seus celulares infectados por um spyware que eles batizaram de "Triangulation". A investigação começou quando a empresa identificou um tráfego de rede estranho em sua rede wireless dedicada para os dispositivos móveis e, devido as limitações de acesso nativas dos celulares iPhone, foi necessário fazer a investigação a partir do backup dos dispositivos infectados.

Analisando os celulares de seus funcionários, a Kaspersky identificou que eles foram infectados por um spyware que foi disseminado através do envio de mensagens invisíveis para a vítima pelo serviço iMessage, contendo um anexo malicioso que, ao explorar algumas vulnerabilidades de execução de código no sistema iOS (que não foram detalhadas no artigo), é executado sem necessidade de intervenção do usuário (técnica chamada de "zero-click") e acaba por instalar um spyware. O código no exploit realiza o download de vários estágios de infecção disponíveis no servidor C&C, que inclui novos exploits que permitem a escalação de privilégios. A mensagem inicial e os exploits são apagados do dispositivo após seu uso, dificultando a investigação. Inicialmente a Kaspersky não divulgou quais vulnerabilidades foram exploradas.

A análise forense da Kaspersky identificou que o spyware utilizou o processo BackupAgent, nativo do IiOS, durante sua execução no dispositivo. Também usou o processo MTransferAgent para realizar o download do servidor C&C.


Uma vez instalado, o spyware silenciosamente transmite informações privadas para um servidor remoto, incluindo gravações do microfone, fotos de apps de mensagem instantânea, geolocalização e dados sobre atividades do dono do iPhone.

Segundo a Kaspersky, o caso mais antigo de infecção ocorreu de 2019, indicando que provavelmente essa operação está no ar desde essa data. A mais recente versão de sistema operacional vulnerável a esse ataque é o iOS 15.7.

A Kaspersky recomenda desabilitar o iMessage para evitar exploração pelo malware Triangulation. Para fazer isso, vá seu celular nos Ajustes -> Mensagens e desabilite o iMessage.


A ferramenta não tem recurso de persistência, e portanto o celular acaba sendo reinfectado quando o usuário realiza o reboot de seu aparelho. Um efeito colateral é que o spyware impede que o dispositivo seja atualizado, e isso pode ser um sinal de que seu dispositivo está comprometido. Ao tentar realizar um update em um iPhone infectado, a vítima recebe a mensagem de erro "Software Update Failed. An error ocurred downloading iOS". O malware também é configurado para desaparecer após 30 dias, exceto se o atacante decidir prolongar a persistência no dispositivo da vítima.

A Kaspersky divulgou alguns IOCs, que são os domínios utilizados pela central de comando e controle (C&C) do spyware em comunicações HTTPS.


Em 21 de junho a Kaspersky lançou um novo relatório detalhando uma das fases da invasão, o implante que é utilizado para infectar os dispositivos - batizado de TriangleDB. Esse implante é instalado no dispositivo da vítima após o atacante obter os privilégios de administrador (root) no aparelho, o que acontece após a exploração de uma vulnerabilidade no kernel. Ele roda em memória, o que significa que não deixa rastros no aparelho e desaparece após o dispositivo ser reinicializado. Após ser instalado, o Triangle DB entra em contato com o servidor de comando e controle (C2) através de HTTPS. Ele tenta falar com dois servidores, um primário e outro em caso de falha. (NOVO)

Segundo relatos na imprensa (Ars Technica, Wired), uma das possíveis vulnerabilidades exploradas pelo Triangulation é a CVE-2022-46690, corrigida pela Apple em Dezembro de 2022, no macOS Ventura 13.1 e iOS 16.2. Essa vulnerabilidade permite que uma aplicação execute código arbitrário com privilégios no nível do Kernel. Em 21 de junho a Apple lançou dois patches relacionados a vulnerabilidades no kernel e no Webkit que foram exploradas na Operação Triangulation: CVE-2023-32434 e CVE-2023-32439.

A Kaspersky disponibilizou uma ferramenta gratuita para identificar o spyware "Triangulation" a partir de um backup do dispositivo iPhone, que está disponível e descrita nesse artigo no portal Securelist: In search of the Triangulation: triangle_check utility.

Veja os IOCs compartilhados pela Kaspersky:
  • Domínios utilizados pela central de comando e controle (C&C)
    • addatamarket[.]net
    • backuprabbit[.]com
    • businessvideonews[.]com
    • cloudsponcer[.]com 
    • datamarketplace[.]net
    • mobilegamerstats[.]com
    • snoweeanalytics[.]com
    • tagclick-cdn[.]com 
    • topographyupdates[.]com
    • unlimitedteacup[.]com
    • virtuallaughing[.]com
    • web-trackers[.]com 
    • growthtransport[.]com
    • anstv[.]net
    • ans7tv[.]net
  • TriangleDB:
    • MD5: 063db86f015fe99fdd821b251f14446d
    • SHA-1: 1a321b77be6a523ddde4661a5725043aba0f037f
    • SHA-256: fd9e97cfb55f9cfb5d3e1388f712edd952d902f23a583826ebe55e9e322f730f
Embora os relatos da Kaspersky indiquem que os dispositivos infectados pertencem a seus funcionários e não tenha evidência de que outras empresas ou organizações também tenham sido afetadas, a agência de inteligência russa (FSB) divulgou uma nota acusando os EUA de espionagem utilizando vulnerabilidades específicas nos iPhones, atingindo "vários milhares de aparelhos", incluindo de usuários comuns e de seus diplomatas. O portal The Record confirmou que se trata do mesmo malware.

Segundo a Kaspersky, foram utilizadas quatro vulnerabilidades desconhecidas, para as quais foram disponibilizados os patches pela equipe da Apple:
  • CVE-2023-32434
  • CVE-2023-32435
  • CVE-2023-38606
  • CVE-2023-41990
(Atualizado em 27/12): A Kaspersky divulgou mais uma novidade sobre a Operação Triangulation em uma palestra no Chaos Communication Congress (37C3) aonde detalharam a cadeia de eventos que levou a exploração dos celulares iPhone e como os atacantes conseguiram driblar as proteções de hardware existentes, incluindo ao explorar uma funcionalidade de hardware desconhecida, não documentada pela Apple..


Para saber mais:
PS: Post atualizado em 02/06 (19h, para indicar a CVE-2022-46690). Pequena atualização em 05/05 para incluir 2 referências, mas sem novidades relevantes. Post atualizado em 26/06 com informações sobre a análise do TriangleDBnovos patches da Apple. Atualizado em 27/11 e 27+28/12.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.