Segundo um relatório publicado pela Kaspersky em 01 de junho e detalhado no portal Securelist, a empresa descobriu que seus funcionários de média e alta gestão estavam com seus celulares infectados por um spyware que eles batizaram de "Triangulation". A investigação começou quando a empresa identificou um tráfego de rede estranho em sua rede wireless dedicada para os dispositivos móveis e, devido as limitações de acesso nativas dos celulares iPhone, foi necessário fazer a investigação a partir do backup dos dispositivos infectados.
Analisando os celulares de seus funcionários, a Kaspersky identificou que eles foram infectados por um spyware que foi disseminado através do envio de mensagens invisíveis para a vítima pelo serviço iMessage, contendo um anexo malicioso que, ao explorar algumas vulnerabilidades de execução de código no sistema iOS (que não foram detalhadas no artigo), é executado sem necessidade de intervenção do usuário (técnica chamada de "zero-click") e acaba por instalar um spyware. O código no exploit realiza o download de vários estágios de infecção disponíveis no servidor C&C, que inclui novos exploits que permitem a escalação de privilégios. A mensagem inicial e os exploits são apagados do dispositivo após seu uso, dificultando a investigação. Inicialmente a Kaspersky não divulgou quais vulnerabilidades foram exploradas.
A análise forense da Kaspersky identificou que o spyware utilizou o processo BackupAgent, nativo do IiOS, durante sua execução no dispositivo. Também usou o processo MTransferAgent para realizar o download do servidor C&C.
Uma vez instalado, o spyware silenciosamente transmite informações privadas para um servidor remoto, incluindo gravações do microfone, fotos de apps de mensagem instantânea, geolocalização e dados sobre atividades do dono do iPhone.
Segundo a Kaspersky, o caso mais antigo de infecção ocorreu de 2019, indicando que provavelmente essa operação está no ar desde essa data. A mais recente versão de sistema operacional vulnerável a esse ataque é o iOS 15.7.
A Kaspersky recomenda desabilitar o iMessage para evitar exploração pelo malware Triangulation. Para fazer isso, vá seu celular nos Ajustes -> Mensagens e desabilite o iMessage.
A ferramenta não tem recurso de persistência, e portanto o celular acaba sendo reinfectado quando o usuário realiza o reboot de seu aparelho. Um efeito colateral é que o spyware impede que o dispositivo seja atualizado, e isso pode ser um sinal de que seu dispositivo está comprometido. Ao tentar realizar um update em um iPhone infectado, a vítima recebe a mensagem de erro "Software Update Failed. An error ocurred downloading iOS". O malware também é configurado para desaparecer após 30 dias, exceto se o atacante decidir prolongar a persistência no dispositivo da vítima.
A Kaspersky divulgou alguns IOCs, que são os domínios utilizados pela central de comando e controle (C&C) do spyware em comunicações HTTPS.
Em 21 de junho a Kaspersky lançou um novo relatório detalhando uma das fases da invasão, o implante que é utilizado para infectar os dispositivos - batizado de TriangleDB. Esse implante é instalado no dispositivo da vítima após o atacante obter os privilégios de administrador (root) no aparelho, o que acontece após a exploração de uma vulnerabilidade no kernel. Ele roda em memória, o que significa que não deixa rastros no aparelho e desaparece após o dispositivo ser reinicializado. Após ser instalado, o Triangle DB entra em contato com o servidor de comando e controle (C2) através de HTTPS. Ele tenta falar com dois servidores, um primário e outro em caso de falha. (NOVO)
Segundo relatos na imprensa (Ars Technica, Wired), uma das possíveis vulnerabilidades exploradas pelo Triangulation é a CVE-2022-46690, corrigida pela Apple em Dezembro de 2022, no macOS Ventura 13.1 e iOS 16.2. Essa vulnerabilidade permite que uma aplicação execute código arbitrário com privilégios no nível do Kernel. Em 21 de junho a Apple lançou dois patches relacionados a vulnerabilidades no kernel e no Webkit que foram exploradas na Operação Triangulation: CVE-2023-32434 e CVE-2023-32439.
A Kaspersky disponibilizou uma ferramenta gratuita para identificar o spyware "Triangulation" a partir de um backup do dispositivo iPhone, que está disponível e descrita nesse artigo no portal Securelist: In search of the Triangulation: triangle_check utility.
Veja os IOCs compartilhados pela Kaspersky:
- Domínios utilizados pela central de comando e controle (C&C)
- addatamarket[.]net
- backuprabbit[.]com
- businessvideonews[.]com
- cloudsponcer[.]com
- datamarketplace[.]net
- mobilegamerstats[.]com
- snoweeanalytics[.]com
- tagclick-cdn[.]com
- topographyupdates[.]com
- unlimitedteacup[.]com
- virtuallaughing[.]com
- web-trackers[.]com
- growthtransport[.]com
- anstv[.]net
- ans7tv[.]net
- TriangleDB:
- MD5: 063db86f015fe99fdd821b251f14446d
- SHA-1: 1a321b77be6a523ddde4661a5725043aba0f037f
- SHA-256: fd9e97cfb55f9cfb5d3e1388f712edd952d902f23a583826ebe55e9e322f730f
Embora os relatos da Kaspersky indiquem que os dispositivos infectados pertencem a seus funcionários e não tenha evidência de que outras empresas ou organizações também tenham sido afetadas, a agência de inteligência russa (FSB) divulgou uma nota acusando os EUA de espionagem utilizando vulnerabilidades específicas nos iPhones, atingindo "vários milhares de aparelhos", incluindo de usuários comuns e de seus diplomatas. O portal The Record confirmou que se trata do mesmo malware.
Segundo a Kaspersky, foram utilizadas quatro vulnerabilidades desconhecidas, para as quais foram disponibilizados os patches pela equipe da Apple:
- CVE-2023-32434
- CVE-2023-32435
- CVE-2023-38606
- CVE-2023-41990
(Atualizado em 27/12): A Kaspersky divulgou mais uma novidade sobre a Operação Triangulation em uma palestra no Chaos Communication Congress (37C3) aonde detalharam a cadeia de eventos que levou a exploração dos celulares iPhone e como os atacantes conseguiram driblar as proteções de hardware existentes, incluindo ao explorar uma funcionalidade de hardware desconhecida, não documentada pela Apple..
Para saber mais:
- A matter of triangulation (Kaspersky) (versão em português)
- Cobertura no portal Securelist: Operation Triangulation
- Operation Triangulation: iOS devices targeted with previously unknown malware
- In search of the Triangulation: triangle_check utility
- Dissecting TriangleDB, a Triangulation spyware implant
- Patches relacionados:
- Russia accuses US of hacking thousands of Apple devices to spy on diplomats (The Record)
- Russia says US hacked thousands of Apple phones in spy plot (Reuters)
- Kaspersky Says New Zero-Day Malware Hit iPhones—Including Its Own (Wired)
- Cancelar o registro do iMessage (Apple)
- New Zero-Click Hack Targets iOS Users with Stealthy Root-Privilege Malware
- Operation Triangulation: Mapping the threat (Group-IB)
- Apple addresses two zero-days exploited in Operation Triangulation spyware campaign (The Record)
- Nova campanha “Operation Triangulation” mira infecção de dispositivos iOS (Security Report)
- Série de tweets do Eugene Kaspersky denunciando a operação:
PS: Post atualizado em 02/06 (19h, para indicar a CVE-2022-46690). Pequena atualização em 05/05 para incluir 2 referências, mas sem novidades relevantes. Post atualizado em 26/06 com informações sobre a análise do TriangleDB e novos patches da Apple. Atualizado em 27/11 e 27+28/12.
Nenhum comentário:
Postar um comentário