Operación Triangulation: una charla sobre 37С3

Análisis detallado de la operación Triangulation, el ataque más sofisticado que nuestros expertos han visto y que se presentó en la conferencia 37C7.

En el 37º  Chaos Communication Congress (37C3), que tuvo lugar en Hamburgo, nuestros expertos del Equipo de análisis e investigación global (GReAT) Boris Larin, Leonid Bezvershenko y Grigoriy Kucherin dieron una charla llamada “Operación Triangulation: lo que obtienes cuando se ataca a los iPhones de los investigadores” (“Operation Triangulation: what you get when attack iPhones of researchers”). Describieron la cadena de ataque en detalle y hablaron de todas las vulnerabilidades involucradas en el mismo. Entre otras cosas, presentaron también en detalle la explotación de la vulnerabilidad de hardware CVE-2023-38606.

No vamos a repetir todos los detalles – pero si quieres puedes encontrar los detalles técnicos en un artículo en el blog Securelist o incluso escuchar la grabación de la charla en la página oficial de la conferencia. A continuación, te contamos un resumen de los principales puntos que se trataron:

  • Como ya comentamos a principios de verano, el ataque comenzó con un iMessage invisible que contenía un archivo malicioso adjunto que se procesaba automáticamente sin el conocimiento del usuario. Este ataque no requería de ninguna acción por parte de este.
  • Nuestros expertos fueron capaces de detectar el ataque monitorizando una red Wi-Fi corporativa usando nuestro propio sistema SIEM Kaspersky Unified Monitoring and Analysis Platform (KUMA).
  • El ataque empleó cuatro vulnerabilidades del día cero que afectaron a todos los dispositivos 16.2: CVE-2023-32434CVE-2023-32435CVE-2023-41990 y la ya mencionada  CVE-2023-38606.
  • El exploit Triangulation ofuscado podría funcionar tanto en versiones modernas de iPhone como en modelos más antiguos. En el caso de que atacase a los iPhones más modernos, podría estar eludiendo los códigos de autenticación con puntero (PAC).
  • La vulnerabilidad CVE-2023-32434 aprovechada por este exploit, permitía a los atacantes acceder a toda la memoria física del dispositivo a nivel usuario, tanto para lectura como para escritura.
  • Como consecuencia de la explotación de estas cuatro vulnerabilidades, el malware obtenía el control total sobre el dispositivo y la posibilidad de ejecutar cualquier malware necesario, pero en su lugar inició el proceso de IMAgent para eliminar cualquier rastro de ataque en el dispositivo. También inició el proceso de Safari en segundo plano y lo redirigía a la web del atacante con un exploit para Safari.
  • Este exploit de Safari obtuvo derechos de root y lanzó nuevas etapas de ataque, de los que ya hablamos en anteriores publicaciones.
  • La vulnerabilidad CVE-2023-38606 permitió omitir el mecanismo de protección de memoria incorporado utilizando registros ni documentados ni utilizados en el firmware del procesador. Según nuestros expertos, esta función del hardware se creó con el fin o de depuración o de examinación pero que luego, por alguna razón, se mantuvo habilitado.

El único misterio que queda por resolver es cómo supieron los atacantes la manera de utilizar esta función no documentada y en qué lugar encontraron la información al respecto.

Consejos