La campaña de ciberespionaje denominada «Operación Triangulation» que afectó a dispositivos Apple iOS, empleó exploits nunca antes vistos que permitieron evadir las protecciones de seguridad basadas en hardware establecidas por la compañía.
La firma de ciberseguridad rusa Kaspersky, descubrió la campaña a principios de 2023 después de ser uno de los objetivos, y la describió como la «cadena de ataque más sofisticada» observada hasta la fecha. Se cree que la campaña ha estado activa desde 2019.
La actividad de explotación involucró el uso de cuatro vulnerabilidades zero-day que fueron configuradas en una cadena para obtener un nivel sin precedentes de acceso e instalar una puerta trasera en dispositivos objetivos que ejecutan versiones de iOS hasta iOS 16.2 con el objetivo final de recopilar información sensible.
El punto de partida del ataque de cero clics es un iMessage que contiene un archivo adjunto malicioso, que es procesado automáticamente sin interacción alguna del usuario para obtener permisos elevados e instalar un módulo de spyware. Específicamente, este ataque implica la explotación de las siguientes vulnerabilidades:
CVE-2023-41990 – Una vulnerabilidad en el componente FontParser que podría conducir a la ejecución de código arbitrario al procesar un archivo de fuente especialmente diseñado, el cual se envía a través de iMessage. (Resuelto en iOS 15.7.8 y iOS 16.3)
CVE-2023-32434 – Una vulnerabilidad de desbordamiento de enteros en el Kernel que podría ser explotada por una aplicación maliciosa para ejecutar código arbitrario con privilegios de kernel. (Resuelto en iOS 15.7.7, 15.8, y 16.5.1)
CVE-2023-32435 – Una vulnerabilidad de corrupción de memoria en WebKit que podría conducir a la ejecución de código arbitrario al procesar contenido web especialmente diseñado. (Resuelto en iOS 15.7.7 y iOS 16.5.1)
CVE-2023-38606 – Un problema en el kernel que permite que una aplicación maliciosa modifique el estado del kernel sensible. (Resuelto en iOS 16.6)
Es importante destacar que los parches para CVE-2023-41990 fueron lanzados por Apple en enero de 2023, aunque los detalles sobre su explotación solo se hicieron públicos por la compañía el 8 de septiembre de 2023, el mismo día en que se lanzó iOS 16.6.1 para resolver otras dos vulnerabilidades (CVE-2023-41061 y CVE-2023-41064) que fueron explotadas activamente en relación con una campaña de spyware Pegasus.
Con esto, la cantidad de vulnerabilidades zero-day activamente explotadas y resueltas por Apple desde el comienzo del año ha aumentado a 20.
De las cuatro vulnerabilidades, CVE-2023-38606 merece una mención especial, ya que facilita eludir la protección de seguridad basada en hardware en regiones sensibles de la memoria del kernel, mediante el aprovechamiento de registros MMIO (memoria mapeada en E/S), una característica que hasta ahora no se conocía ni estaba documentada.
La explotación, en particular, se dirige a los SoC Bionic A12-A16 de Apple, donde se identificaron bloques MMIO desconocidos de registros que pertenecen al coprocesador de GPU. Actualmente, no se sabe cómo los misteriosos actores detrás de la Operación Triangulation conocían su existencia. Tampoco está claro si fue desarrollado por Apple o si se trata de un componente de terceros como ARM CoreSight.
En resumen, CVE-2023-38606 es el eslabón crucial en la cadena de explotación que está estrechamente relacionado con el éxito de la campaña Operación Triangulation, ya que permite al actor de amenazas tomar el control total del sistema comprometido.
«Nuestra suposición es que esta característica de hardware desconocida fue probablemente destinada a ser utilizada con fines de depuración o pruebas por ingenieros de Apple o la fábrica, o que fue incluida por error», dijo el investigador de seguridad Boris Larin. «Dado que esta característica no es utilizada por el firmware, no sabemos cómo los atacantes sabrían cómo usarla».
«La seguridad de hardware a menudo se basa en la ‘seguridad por la oscuridad’, y es mucho más difícil de ingeniería inversa que el software, pero este es un enfoque defectuoso, porque tarde o temprano, todos los secretos son revelados. Los sistemas que dependen de la ‘seguridad por la oscuridad’ nunca pueden ser realmente seguros».
Esto surge después de que el Washington Post informara que las advertencias de Apple a finales de octubre sobre cómo los periodistas indios y los políticos de la oposición pueden haber sido objetivo de ataques de spyware patrocinados por el estado, hicieron que el gobierno cuestionara la veracidad de las afirmaciones y las describiera como un caso de «mal funcionamiento algorítmico» dentro de los sistemas del gigante tecnológico.
Además, los altos funcionarios de la administración han pedido que la compañía suavice el impacto político de las advertencias y han presionado a la compañía para que proporcione explicaciones alternativas sobre por qué las advertencias podrían haber sido enviadas. Hasta ahora, India no ha confirmado ni negado el uso de spyware como el Pegasus del grupo NSO.
Citando a personas con conocimiento del asunto, el Washington Post señaló que «los funcionarios indios pidieron a Apple que retirara las advertencias y dijera que había cometido un error» y que «los ejecutivos de comunicaciones corporativas de Apple India comenzaron a pedir en privado a los periodistas de tecnología indios que enfatizaran en sus historias que las advertencias de Apple podrían ser falsas alarmas» para alejar el foco del gobierno.
