Nuove rivelazioni sorprendenti riguardo a un attacco che ha colpito dozzine, se non migliaia di iPhone nel corso di quattro anni, che sta interessando numerosi dipendenti della società di sicurezza Kaspersky con sede a Mosca.
La scoperta principale è che gli aggressori sconosciuti hanno raggiunto un livello di accesso senza precedenti sfruttando una serie di vulnerabilità in una funzionalità hardware non documentata. Di cui pochi, se non nessuno, al di fuori di Apple e dei fornitori di chip come ARM Holdings, erano a conoscenza. Ma vediamo meglio la situazione.
iPhone colpiti dalla campagna di backdooring Triangulation
La campagna di backdooring denominata “Triangolazione” (Triangulation) è stata rivelata nel giugno dell’anno scorso, che ha portato a infettare gli iPhone di migliaia di persone impiegate in missioni diplomatiche e ambasciate in Russia.
Ma cosa si intende per backdooring? In pratica la backdoor è un metodo, spesso segreto, per bypassare la normale autenticazione in un prodotto, un sistema informatico, un crittosistema o un algoritmo. E questo superando le difese imposte da un sistema (es. un firewall), al fine di accedere in remoto a un personal computer, così da autentificarsi e prendere il completo o parziale possesso del computer vittima.
Nel corso di almeno quattro anni, questa campagna ha diffuso tramite messaggi iMessage dei malware attraverso una catena di exploit complessa. Il tutto senza richiedere azioni da parte del destinatario.
Per il ricercatore di Kaspersky, Boris Larin, come riporta Ars Technica, la sofisticatezza di quest’ultimo exploit è qualcosa di sorprendente. Le quattro vulnerabilità zero-day sfruttate nell’attacco sono state successivamente corrette da Apple e includono i seguenti identificatori:
- CVE-2023-32434
- CVE-2023-32435
- CVE-2023-38606
- CVE-2023-41990
Oltre agli iPhone, queste vulnerabilità erano presenti anche in Mac, iPod, iPad, Apple TV e Apple Watch. Esse hanno giocato un ruolo fondamentale nell’operazione, consentendo agli hacker di aggirare le avanzate protezioni della memoria basate su hardware di Apple.
Il più grande exploit ai danni dei dispositivi Apple?
Come già accennato, la catena di exploit utilizzata nell’operazione Triangulation ha coinvolto quattro zero-day e ha dimostrato un alto grado di complessità. Gli aggressori hanno inviato un allegato iMessage dannoso, che ha sfruttato la vulnerabilità TrueType di Apple per eseguire codice in remoto.
Successivamente, hanno utilizzato diverse tecniche, tra cui programmazione orientata al ritorno e programmazione orientata al salto, per aggirare le difese contro gli exploit e ottenere privilegi di sistema minimi.
Il kernel iOS è stato quindi preso di mira con due vulnerabilità, permettendo agli hacker di manipolare il kernel e aggirare le difese del Page Protection Layer. Dopo aver sfruttato una vulnerabilità di Safari per eseguire uno shellcode, gli aggressori hanno infine ottenuto i privilegi di root per installare lo spyware.
L’operazione rappresenta uno degli exploit più sofisticati mai scoperti. Perché ha dimostrato che anche le difese avanzate possono essere superate da attacchi sofisticati e che il settore della sicurezza deve rimanere vigile e innovativo per affrontare minacce sempre più evolute.
