Come cercare segni di attacco nei backup iTunes di iOS

Kaspersky scopre una nuova ondata di attacchi mirati sferrati nei confronti dei dispositivi iOS. Cos'è Operation Triangulation e come usare l'utilità Triangle Check per controllare la sicurezza dei propri iPhone.

In passato l’app Apple iMessage è stata più volte utilizzata dai criminali informatici per eseguire codice arbitrario all’insaputa degli utenti e lanciare un attacco a iOS davvero efficace. Una delle vulnerabilità più note è quella battezzata FORCEDENTRY che la Mela ha sanato nel 2021 attraverso un aggiornamento ufficiale per iOS. Nel tempo, tuttavia, non si è avuta notizia soltanto della vulnerabilità FORCEDENTRY. In tutti i casi, comunque, si tratta di lacune di sicurezza usate per attacchi mirati. Aggressioni, cioè, sferrate nei confronti di soggetti e aziende di elevato profilo.

La minaccia è comunque elevata perché problemi di sicurezza come FORCEDENTRY utilizzano vulnerabilità che portano all’esecuzione di codice nocivo senza che l’utente faccia nulla. Si parla di falle zero-click perché l’aggressore deve limitarsi a inviare un messaggio malevolo per far leva sul problema di sicurezza.

Kaspersky ha dato il via a Operation Triangulation dopo aver scoperto tracce di compromissione su un insieme di dispositivi iOS utilizzati dai dipendenti aziendali.

Cos’è Operation Triangulation: iMessage di nuovo utilizzato per attacchi di alto profilo

Durante il monitoraggio del traffico di rete sulla rete WiFi aziendale di Kaspersky, i tecnici della nota società sviluppatrice di soluzioni per la sicurezza informatica, hanno rilevato attività sospette originate da diversi smartphone iOS. Poiché è impossibile ispezionare i moderni dispositivi iOS dall’interno, gli esperti di Kaspersky hanno dapprima creato backup offline dei dispositivi usando iTunes. Utilizzando il software mvt-ios (Mobile Verification Toolkit) per ispezionare gli archivi di backup di iOS, Kaspersky ha scoperto tracce di compromissione.

I backup dei dispositivi mobili contengono una copia parziale del file system, inclusi alcuni dati utente e database di servizio. I timestamp dei file, delle cartelle e dei record del database consentono di ricostruire grossolanamente gli eventi susseguitisi sul dispositivo. L’utilità mvt-ios produce una sequenza temporale ordinata che restituisce un’indicazione attendibile di quanto via via avvenuto sul telefono.

Attacco iOS lanciato di nuovo tramite iMessage

Dalle prime analisi condotte dai tecnici di Kaspersky è emerso che l’attacco a iOS parte, ancora una volta, da un allegato iMessage ricevuto dalla vittima. Gli indicatori di compromissione che fanno quindi pensare a nuove vulnerabilità zero-click presenti in iMessage che sono state sfruttate con successo per eseguire codice arbitrario senza alcuna interazione da parte dell’utente.

Nell’attacco iOS in questione, gli smartphone delle vittime vengono messi in collegamento con i server C&C (Command and Control) gestiti dagli aggressori. Questi sistemi C&C vengono utilizzati per distribuire codice exploit aggiuntivo, utilizzato ad esempio per l’acquisizione di privilegi più elevati. A infezione avvenuta, Kaspersky spiega che i malintenzionati dispongono il download e l’attivazione, sul terminale iOS, di un payload finale. Come ultimo passo, il messaggio iniziale ricevuto tramite iMessage e l’exploit presente nell’allegato vengono rimossi.

Triangle Check: scansione degli archivi di backup di iOS per tutti

Gli esperti di Kaspersky hanno deciso di condividere subito il lavoro svolto in questi giorni pubblicando il progetto open source Triangle Check. Si tratta di uno strumento pubblicato su GitHub e disponibile per i principali sistemi operativi (macOS, Windows e Linux) che si occupa di analizzare i backup di iOS.

È possibile clonare il repository GitHub e avviare il codice Python oppure servirsi dei file binari per Windows e Linux già predisposti da Kaspersky.

L’utilità Triangle Check esamina il contenuto dei backup iTunes e va alla ricerca di eventuali segnali di compromissione del dispositivo. Per utilizzarla, è ovviamente necessario specificare in quale locazione di memoria sono salvati i backup di iOS. Il percorso della cartella varia a seconda del sistema operativo utilizzato: Apple fornisce tutte le indicazioni in questo documento di supporto. La directory di backup deve contiene, tra i tanti elementi, anche i file Manifest.db e Manifest.plist. L’eventuale password utilizzata per crittografare il backup, deve essere fornita all’utilità Triangle Check per avviare l’attività di verifica.

Al rilevamento di eventuali tracce di attività sospette, lo script sviluppato da Kaspersky mostra messaggi come SUSPICION o DETECTED nell’output. Accanto a ciascuno di essi compaiono ulteriori informazioni sugli IOC riconosciuti. La sigla IOC sta per “Indicator of Compromise“, che tradotto in italiano significa “Indicatore di Compromissione“. Un IOC è un segnale o un elemento che è spia di un’attività malevola o di una violazione della sicurezza. In questo caso all’interno del dispositivo iOS.

L’immagine in apertura è di Kaspersky ed è tratta dal post “In search of the Triangulation: triangle_check utility“.

Ti consigliamo anche

Link copiato negli appunti