Os ataques de spyware da Operação Triangulação direcionados a dispositivos Apple iOS se aproveitaram de exploits nunca antes vistos que tornaram possível até mesmo burlar proteções de segurança baseadas em hardware estabelecidas pela empresa.
A empresa russa de segurança cibernética Kaspersky, que descobriu a campanha no início de 2023 após se tornar um dos alvos, a descreveu como a "cadeia de ataque mais sofisticada" que já observou até à data.
Acredita-se que a campanha esteja ativa desde 2019.
A atividade de exploração envolveu o uso de quatro falhas de zero-day que foram transformadas em uma cadeia para obter um nível de acesso sem precedentes e backdoor em dispositivos alvo rodando versões iOS até o iOS 16.2, com o objetivo final de coletar informações sensíveis.
O ponto de partida do ataque de zero-clique é um iMessage carregando um anexo malicioso, que é processado automaticamente sem qualquer interação do usuário para finalmente obter permissões elevadas e implantar um módulo de spyware.
Especificamente, envolve a exploração das seguintes vulnerabilidades -
CVE-2023-41990
- Uma falha no componente FontParser que pode levar à execução de código arbitrário ao processar um arquivo de fonte especialmente criado, que é enviado via iMessage.
(Endereçado no iOS 15.7.8 e iOS 16.3)
CVE-2023-32434
- Uma vulnerabilidade de overflow de inteiro no Kernel que poderia ser explorada por um aplicativo malicioso para executar código arbitrário com privilégios de kernel.
(Endereçado no iOS 15.7.7, iOS 15.8, and iOS 16.5.1)
CVE-2023-32435
- Uma vulnerabilidade de corrupção de memória no WebKit que pode levar à execução de código arbitrário ao processar conteúdo web especialmente criado.
(Endereçado no iOS 15.7.7 and iOS 16.5.1)
CVE-2023-38606
- Uma questão no kernel que permite a um aplicativo malicioso alterar o estado sensível do kernel.
(Endereçado no iOS 16.6)
Vale ressaltar que os patches para o
CVE-2023-41990
foram liberados pela Apple em janeiro de 2023, embora os detalhes sobre a exploração só foram tornados públicos pela empresa em 8 de setembro de 2023, o mesmo dia em que lançou o iOS 16.6.1 para corrigir outras duas falhas (
CVE-2023-41061
e
CVE-2023-41064
) que foram abusadas ativamente em conexão com uma campanha de spyware Pegasus.
Isso também traz o total de zero-days explorados ativamente resolvidos pela Apple desde o início do ano para 20.
Das quatro vulnerabilidades,
CVE-2023-38606
merece uma menção especial, pois facilita a burla de proteção de segurança baseada em hardware para regiões sensíveis da memória do kernel, aproveitando os registros de E/S mapeados em memória (MMIO), um recurso que nunca foi conhecido ou documentado até agora.
O exploit, em particular, direciona os SoCs Apple A12-A16 Bionic, destacando blocos desconhecidos de registros MMIO que pertencem ao coprocessador GPU.
Ainda não se sabe como os misteriosos atores por trás da operação souberam de sua existência.
Também não está claro se foi desenvolvido pela Apple ou se é um componente de terceiros como ARM CoreSight.
Dito de outra forma, o
CVE-2023-38606
é o elo crucial na cadeia de exploração que está intimamente vinculado ao sucesso da campanha da Operação Triangulação, dado o fato de que ele permite que o ator de ameaça ganhe controle total do sistema comprometido.
"Nossa suposição é que esse recurso de hardware desconhecido foi provavelmente feito para ser usado para fins de depuração ou teste por engenheiros da Apple ou da fábrica, ou que foi incluído por engano", disse o pesquisador de segurança Boris Larin.
"Porque esse recurso não é usado pelo firmware, não temos ideia de como os invasores saberiam como usá-lo."
"A segurança de hardware muitas vezes depende de 'segurança através do obscuridade', e é muito mais difícil de reverter do que o software, mas essa é uma abordagem falha, porque mais cedo ou mais tarde todos os segredos são revelados.
Sistemas que dependem de 'segurança através do obscuridade' nunca podem ser verdadeiramente seguros."
O avanço ocorre quando o Washington Post relatou que os avisos da Apple no final de outubro sobre jornalistas indianos e políticos da oposição possivelmente terem sido alvo de ataques de spyware patrocinados pelo estado levaram o governo a questionar a veracidade das afirmações e descrevê-las como um caso de "mal funcionamento algorítmico" nos sistemas do gigante da tecnologia.
Além disso, altos funcionários da administração exigiram que a empresa suavizasse o impacto político dos avisos e pressionou a empresa a fornecer explicações alternativas para o motivo dos avisos terem sido enviados.
Até agora, a Índia não confirmou nem negou o uso de spyware como os do Grupo NSO's Pegasus.
Citando pessoas com conhecimento do assunto, o Washington Post notou que "funcionários indianos pediram à Apple para retirar os avisos e dizer que tinha cometido um erro" e que "executivos de comunicação corporativa da Apple India começaram a pedir privadamente a jornalistas de tecnologia indianos que enfatizassem em suas reportagens que os avisos da Apple poderiam ser falsos alarmes" para desviar o foco do governo.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...