[Segurança] Spyware Triangulation em dispositivos iOS

A Kaspersky divulgou a descoberta de uma operação altamente sofisticada de espionagem que envolve a invasão silenciosa de dispositivos usando o sistema iOS, ou seja, nossos iPhones. No dia seguinte, o governo russo acusa formalmente os EUA de espionagem pelo mesmo motivo. A Kaspersky batizou esse spyware de "Triangulation".

Segundo um relatório publicado pela Kaspersky em 01 de junho e detalhado no portal Securelist, a empresa descobriu que seus funcionários de média e alta gestão estavam com seus celulares infectados por um spyware que eles batizaram de "Triangulation". A investigação começou quando a empresa identificou um tráfego de rede estranho em sua rede wireless dedicada para os dispositivos móveis e, devido as limitações de acesso nativas dos celulares iPhone, foi necessário fazer a investigação a partir do backup dos dispositivos infectados.

Analisando os celulares de seus funcionários, a Kaspersky identificou que eles foram infectados por um spyware que foi disseminado através do envio de mensagens invisíveis para a vítima pelo serviço iMessage, contendo um anexo malicioso que, ao explorar algumas vulnerabilidades de execução de código no sistema iOS (que não foram detalhadas no artigo), é executado sem necessidade de intervenção do usuário (técnica chamada de "zero-click") e acaba por instalar um spyware. O código no exploit realiza o download de vários estágios de infecção disponíveis no servidor C&C, que inclui novos exploits que permitem a escalação de privilégios. A mensagem inicial e os exploits são apagados do dispositivo após seu uso, dificultando a investigação. Inicialmente a Kaspersky não divulgou quais vulnerabilidades foram exploradas.

A análise forense da Kaspersky identificou que o spyware utilizou o processo BackupAgent, nativo do IiOS, durante sua execução no dispositivo. Também usou o processo MTransferAgent para realizar o download do servidor C&C.

Uma vez instalado, o spyware silenciosamente transmite informações privadas para um servidor remoto, incluindo gravações do microfone, fotos de apps de mensagem instantânea, geolocalização e dados sobre atividades do dono do iPhone.

Segundo a Kaspersky, o caso mais antigo de infecção ocorreu de 2019, indicando que provavelmente essa operação está no ar desde essa data. A mais recente versão de sistema operacional vulnerável a esse ataque é o iOS 15.7.

A Kaspersky recomenda desabilitar o iMessage para evitar exploração pelo malware Triangulation. Para fazer isso, vá seu celular nos Ajustes -> Mensagens e desabilite o iMessage.

A ferramenta não tem recurso de persistência, e portanto o celular acaba sendo reinfectado quando o usuário realiza o reboot de seu aparelho. Um efeito colateral é que o spyware impede que o dispositivo seja atualizado, e isso pode ser um sinal de que seu dispositivo está comprometido. Ao tentar realizar um update em um iPhone infectado, a vítima recebe a mensagem de erro "Software Update Failed. An error ocurred downloading iOS". O malware também é configurado para desaparecer após 30 dias, exceto se o atacante decidir prolongar a persistência no dispositivo da vítima.

A Kaspersky divulgou alguns IOCs, que são os domínios utilizados pela central de comando e controle (C&C) do spyware em comunicações HTTPS.

Em 21 de junho a Kaspersky lançou um novo relatório detalhando uma das fases da invasão, o implante que é utilizado para infectar os dispositivos - batizado de TriangleDB. Esse implante é instalado no dispositivo da vítima após o atacante obter os privilégios de administrador (root) no aparelho, o que acontece após a exploração de uma vulnerabilidade no kernel. Ele roda em memória, o que significa que não deixa rastros no aparelho e desaparece após o dispositivo ser reinicializado. Após ser instalado, o Triangle DB entra em contato com o servidor de comando e controle (C2) através de HTTPS. Ele tenta falar com dois servidores, um primário e outro em caso de falha. (NOVO)

Segundo relatos na imprensa (Ars Technica, Wired), uma das possíveis vulnerabilidades exploradas pelo Triangulation é a CVE-2022-46690, corrigida pela Apple em Dezembro de 2022, no macOS Ventura 13.1 e iOS 16.2. Essa vulnerabilidade permite que uma aplicação execute código arbitrário com privilégios no nível do Kernel. Em 21 de junho a Apple lançou dois patches relacionados a vulnerabilidades no kernel e no Webkit que foram exploradas na Operação Triangulation: CVE-2023-32434 e CVE-2023-32439.

A Kaspersky disponibilizou uma ferramenta gratuita para identificar o spyware "Triangulation" a partir de um backup do dispositivo iPhone, que está disponível e descrita nesse artigo no portal Securelist: In search of the Triangulation: triangle_check utility.

Veja os IOCs compartilhados pela Kaspersky:

• Domínios utilizados pela central de comando e controle (C&C)
• addatamarket[.]net
• backuprabbit[.]com
• businessvideonews[.]com
• cloudsponcer[.]com 
• datamarketplace[.]net
• mobilegamerstats[.]com
• snoweeanalytics[.]com
• tagclick-cdn[.]com 
• topographyupdates[.]com
• unlimitedteacup[.]com
• virtuallaughing[.]com
• web-trackers[.]com 
• growthtransport[.]com
• anstv[.]net
• ans7tv[.]net
• TriangleDB:
• MD5: 063db86f015fe99fdd821b251f14446d
• SHA-1: 1a321b77be6a523ddde4661a5725043aba0f037f
• SHA-256: fd9e97cfb55f9cfb5d3e1388f712edd952d902f23a583826ebe55e9e322f730f

Embora os relatos da Kaspersky indiquem que os dispositivos infectados pertencem a seus funcionários e não tenha evidência de que outras empresas ou organizações também tenham sido afetadas, a agência de inteligência russa (FSB) divulgou uma nota acusando os EUA de espionagem utilizando vulnerabilidades específicas nos iPhones, atingindo "vários milhares de aparelhos", incluindo de usuários comuns e de seus diplomatas. O portal The Record confirmou que se trata do mesmo malware.

Segundo a Kaspersky, foram utilizadas quatro vulnerabilidades desconhecidas, para as quais foram disponibilizados os patches pela equipe da Apple:

• CVE-2023-32434
• CVE-2023-32435
• CVE-2023-38606
• CVE-2023-41990

(Atualizado em 27/12): A Kaspersky divulgou mais uma novidade sobre a Operação Triangulation em uma palestra no Chaos Communication Congress (37C3) aonde detalharam a cadeia de eventos que levou a exploração dos celulares iPhone e como os atacantes conseguiram driblar as proteções de hardware existentes, incluindo ao explorar uma funcionalidade de hardware desconhecida, não documentada pela Apple..

Para saber mais:

• A matter of triangulation (Kaspersky) (versão em português)
• Cobertura no portal Securelist: Operation Triangulation
• Operation Triangulation: iOS devices targeted with previously unknown malware
• In search of the Triangulation: triangle_check utility
• Dissecting TriangleDB, a Triangulation spyware implant
• Patches relacionados:
• iOS 16.5.1 and iPadOS 16.5.1 (CVE-2023-32434 e CVE-2023-32439)
• Russia accuses US of hacking thousands of Apple devices to spy on diplomats (The Record)
• Russia says US hacked thousands of Apple phones in spy plot (Reuters)
• Kaspersky Says New Zero-Day Malware Hit iPhones—Including Its Own (Wired)
• Cancelar o registro do iMessage (Apple)
• New Zero-Click Hack Targets iOS Users with Stealthy Root-Privilege Malware
• Operation Triangulation: Mapping the threat (Group-IB)
• Apple addresses two zero-days exploited in Operation Triangulation spyware campaign (The Record)
• Nova campanha “Operation Triangulation” mira infecção de dispositivos iOS (Security Report)
• Série de tweets do Eugene Kaspersky denunciando a operação:

• Operation Triangulation: The last (hardware) mystery (NOVO)
• iPhone Triangulation attack abused undocumented hardware feature (NOVO)

PS: Post atualizado em 02/06 (19h, para indicar a CVE-2022-46690). Pequena atualização em 05/05 para incluir 2 referências, mas sem novidades relevantes. Post atualizado em 26/06 com informações sobre a análise do TriangleDB e novos patches da Apple. Atualizado em 27/11 e 27+28/12.