Nel tracciare le conclusioni di un’indagine durata oltre 12 mesi, Kaspersky ha dipinto il quadro a tinte fosche che caratterizza Operation Triangulation. Nel caso di specie, i criminali riuscivano a sferrare attacchi informatici zero-click ossia disponevano l’esecuzione automatica di codice malevolo sugli iPhone delle vittime semplicemente inviando comunicazioni iMessage “ad hoc”.
Gli esperti del Global Research and Analysis Team (GReAT) di Kaspersky hanno rilevato che una caratteristica hardware prima sconosciuta, è divenuta fondamentale per il successo della campagna nota come Operation Triangulation. Una vulnerabilità nel SoC (System-on-a-Chip) di Apple, ha permesso agli aggressori remoti di bypassare la protezione della memoria a livello hardware sugli iPhone che utilizzano versioni di iOS fino alla release 16.6.
Ciò che desta preoccupazione è che il problema di sicurezza in hardware rilevato da Kaspersky sarebbe stato sfruttato almeno da quattro anni (quindi già dal 2019) per condurre attacchi mirati a soggetti di primo piano e aziende di elevato profilo.
Vulnerabilità hardware nei SoC Apple utilizzata per premere il controllo degli iPhone
La lacuna di sicurezza in questione è basata sul concetto di “security through oscurity”: anziché sulla forza degli algoritmi o sulla complessità delle chiavi crittografiche, la protezione poggia sul fatto che le sue componenti chiave siano nascoste o sconosciute al pubblico o agli utenti. È uno schema che da sempre gli esperti suggeriscono di evitare perché comporta evidenti rischi intrinseci.
Eppure, come spiega Kaspersky, dopo l’attacco iniziale ad iMessage usando una vulnerabilità zero-click (si chiama così perché entra in funzione immediatamente, senza richiedere l’intervento o l’interazione dell’utente…), gli aggressori hanno proprio fatto leva sulla funzione hardware integrata nel SoC Apple per aggirare le protezioni di sicurezza ed alterare il contenuto delle aree di memoria protette. Questo passaggio si è dimostrato cruciale al fine di assumere pieno controllo del dispositivo. Apple ha risolto il problema, identificato come CVE-2023-38606.
I ricercatori del team GReAT si sono impegnati in un’approfondita attività di reverse engineering, analizzando meticolosamente l’integrazione hardware e software dell’iPhone, concentrandosi in particolare sugli indirizzi Memory-Mapped I/O (MMIO), fondamentali per facilitare una comunicazione efficiente tra la CPU e i dispositivi periferici. Gli indirizzi MMIO precedentemente sconosciuti, sono stati utilizzati dagli aggressori per aggirare la protezione della memoria del kernel implementata in hardware.
“Non si tratta di una vulnerabilità ordinaria e, a causa della natura chiusa dell’ecosistema iOS, il processo di analisi si è dimostrato molto impegnativo, richiedendo una comprensione approfondita delle architetture hardware e software Apple. Questa scoperta ci insegna ancora una volta che anche le protezioni avanzate basate sull’hardware possono essere rese inefficaci da aggressori che dispongono di competenze evolute e sofisticate, in particolare quando esistono caratteristiche hardware che consentono di bypassare le protezioni”, ha commentato Boris Larin, Principal Security Researcher del Kaspersky GReAT.
L’identikit di Operation Triangulation
Battezzata Operation Triangulation, la campagna APT (Advanced Persistent Threat) scoperta a giugno 2023 da Kaspersky, è progettata per colpire espressamente i dispositivi iOS. Utilizzando una “catena di vulnerabilità”, adesso sistemate dai tecnici della Mela, gli aggressori possono ottenere il controllo completo del dispositivo altrui ed accedere ai dati personali e e riservati di ciascun utente.
Apple ha rilasciato gli aggiornamenti di sicurezza per risolvere quattro vulnerabilità zero-day alla base della campagna posta in essere dai criminali informatici: gli identificativi dei problemi risolti nei prodotti della società di Cupertino sono CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 e CVE-2023-41990.
Le vulnerabilità hanno impatto su un’ampia gamma di prodotti, tra cui iPhone, iPod, iPad, dispositivi macOS, Apple TV ed Apple Watch. Kaspersky ha ovviamente informato Apple dello sfruttamento del problema hardware, contribuendo alla risoluzione del problema principale.
A valle dell’infezione, sui dispositivi erano caricati componenti spyware che, tra le altre cose, trasmettevano su server remoti registrazioni del microfono, foto, dati di geolocalizzazione e altre informazioni personali. Anche se le infezioni non sopravvivevano a un riavvio dello smartphone, gli attaccanti mantenevano vivo il loro attacco semplicemente inviando ai dispositivi Apple un nuovo messaggio iMessage poco dopo il riavvio.
Larin ha ammesso che alcuni aspetti “misteriosi” rimangono ancora senza una risposta definitiva. Non è dato sapere come gli attaccanti abbiano appreso l’esistenza della funzione hardware “incriminata” né se essa sia una caratteristica nativa degli iPhone o se sia abilitata da un componente hardware di terze parti come ARM CoreSight.
L’immagine in apertura è tratta da “In search of the Triangulation: triangle_check utility” (Kaspersky).