Gli attacchi di spyware “Operation Triangulation” mirati ai dispositivi iPhone dal 2019 hanno sfruttato caratteristiche non documentate nei chip Apple per eludere le protezioni di sicurezza basate su hardware.
Analisi degli Attacchi
Gli analisti di Kaspersky, che hanno lavorato per un anno al reverse engineering della complessa catena di attacco, hanno scoperto che la campagna sfruttava funzionalità hardware oscure, probabilmente riservate al debug e ai test di fabbrica, per lanciare attacchi di spyware contro gli utenti di iPhone. Questo suggerisce che un attore di minaccia sofisticato abbia condotto la campagna.
Dettagli della Campagna di Spyware
Operation Triangulation è una campagna di spyware che prende di mira i dispositivi Apple iPhone utilizzando una serie di quattro vulnerabilità zero-day. Queste vulnerabilità sono concatenate per creare un exploit zero-click che consente agli attaccanti di elevare i privilegi e eseguire codice remoto.
Le quattro falle che costituiscono la catena di exploit altamente sofisticata sono:
- CVE-2023-41990: Una vulnerabilità nell’istruzione TrueType font ADJUST che permette l’esecuzione di codice remoto tramite un allegato iMessage dannoso.
- CVE-2023-32434: Un problema di overflow intero nelle syscall di mappatura della memoria di XNU, che concede agli attaccanti un ampio accesso in lettura/scrittura alla memoria fisica del dispositivo.
- CVE-2023-32435: Utilizzata nell’exploit di Safari per eseguire shellcode come parte dell’attacco multi-stadio.
- CVE-2023-38606: Una vulnerabilità che utilizza registri hardware MMIO per bypassare il Page Protection Layer (PPL), sovvertendo le protezioni di sicurezza basate su hardware.
Inizio e Scoperta degli Attacchi
Gli attacchi iniziano con un allegato iMessage dannoso inviato al bersaglio, mentre l’intera catena è zero-click, il che significa che non richiede interazione da parte dell’utente e non genera segni o tracce evidenti. Kaspersky ha scoperto l’attacco all’interno della propria rete, e il servizio di intelligence russo (FSB) ha immediatamente accusato Apple di fornire alla NSA un backdoor contro il personale del governo e dell’ambasciata russa.
Risoluzione delle Vulnerabilità
Apple ha corretto le due vulnerabilità zero-day allora riconosciute (CVE-2023-32434 e CVE-2023-32435) il 21 giugno 2023, con il rilascio di iOS/iPadOS 16.5.1 e iOS/iPadOS 15.7.7. La vulnerabilità CVE-2023-38606, che è stata affrontata il 24 luglio 2023 con il rilascio di iOS/iPadOS 16.6, è la più intrigante per gli analisti di Kaspersky.
Questo attacco altamente sofisticato sottolinea l’importanza di una sicurezza hardware e software robusta e la necessità di una continua vigilanza contro le minacce emergenti. La scoperta di questa vulnerabilità e il suo sfruttamento da parte di attori di minacce avanzati evidenziano la complessità e l’evoluzione del panorama delle minacce informatiche.