Discussione Exploit Apple e la Backdoor hardware NSA - Operation Triangulation

JunkCoder

Moderatore
5 Giugno 2020
1,733
25
1,554
658


La notizia su Operation Triangulation è fuori da un pezzo (Giugno 2023) ma le ultime rivelazioni dalla Russia del colosso Kaspersky hanno sollevato seri dubbi sulla sicurezza di tutti i dispositivi Apple. Molti esperti hanno commentato quest'attacco come il più sofisticato che si sia mai visto e io mi trovo pienamente daccordo con loro, non solo perché usa una catena di ben 4 exploit 0-day, ma perché uno di questi è "speciale" come vedremo dopo. C'è anche un grande effort per ripulire le tracce in automatico, tanto che ci sono voluti circa 6 mesi dalla scoperta iniziale al completamento del report.

1    Chi sono i bersagli


I bersagli di questo attacco sono diplomatici (Russi, SAR, Cinesi, Israeliani ed Europei), VIP, una dozzina di dipendenti di Kaspersky stessa e probabilmente tanti altri che non sanno di essere stati sorvegliati. A quanto pare l'operazione è attiva da almeno il 2019.

2    Metodo di infezione


Il dispositivo viene infettato inizialmente tramite il primo exploit 0-click via iMessage (CVE-2023-41990) che sfrutta una vulnerabilità nel sistema proprietario Apple di parsing dei file font TrueType. A questo punto vengono sfruttati due exploit di kernel privilege excalation (CVE-2023-32434 e CVE-2023-38606) da codice javascript offuscato (e con engine modificato per poter chiamare API native) per avviare la pulizia delle tracce e aprire in background una pagina in Safari contenente un ulteriore exploit RCE 0-click (CVE-2023-32435) che esegue un payload, stavolta binario, che sfrutta nuovamente CVE-2023-32434 e CVE-2023-38606 per poi installare il malware finale.

3    Cosa rende questo attacco così diverso


A rendere diverso quest'attacco da altre catene di exploit viste in precedenza, oltre alla complessità generale, è senza dubbio la vulnerabilità CVE-2023-38606: si tratta dello sfruttamento di funzionalità, non documentate e mai utilizzate per altri scopi, dell'hardware dei dispositivi Apple. Infatti i moderni iPhone hanno protezioni hardware aggiuntive che non permettono la scrittura di certe aree di memoria. Invece usando questa backdoor hardware è possibile scrivere in un area MMIO sconosciuta e non protetta che bypassa completamente il blocco di scrittura presso qualsiasi indirizzo fisico della RAM, di fatto regalando una sorta di interfaccia DMA (Direct Memory Access).

4    Backdoor per debug?


Le principali news dei blog occidentali, a proposito di CVE-2023-38606, parlano di "feature con scopi di debug lasciata attiva per errore", ma Kaspersky insieme all'FSB (servizi segreti Russi) puntano il dito contro l'NSA e Apple insinuando che la backdoor è stata inserita di proposito e che al contrario di quanto afferma Apple, le due entità collaborano attivamente.

5    Conclusione


Tutte 4 le vulnerabilità sono state patchate da Apple attraverso un aggiornamento, secondo i ricercatori in tutto qualche migliaio di dispositivi in tutto il mondo è stato infettato da Triangulation.

E voi cosa ne pensate? Potrebbe essere davvero una feature di test dimenticata? NSA e Apple vanno a braccetto? Oppure Apple è stata forzata a lasciare la chiave della porta sul retro sotto lo zerbino?
 
Ciao Junk, non mi stupirei affatto nello scoprire che tra la big tech "Apple" e la National Security Agency ci sia un rapporto di stretta collaborazione.

D'altronde si sono verificati altri casi simili in passato, basta guardare il caso Snowden e il programma massivo di sorveglianza "PRISM". Dal 2013 credo che la situazione non sia cambiata molto: per i servizi segreti è fondamentale avere un controllo capillare e celato delle informazioni legate a tutti i personaggi di rilievo nel panorama nazionale/internazionale, in quanto "sapere è potere", come diceva Bacone.

Non mi fido granché dei Russi (e nemmeno degli Americani 😁), ma reputo che possano avere ragione questa volta, in quanto si tratta di dinamiche che si sono già replicate in passato.

Inoltre il giudizio di Kaspersky in merito è molto autorevole, essendo una delle migliori multinazionali nel campo della sicurezza informatica, nonostante sia Russa anch'essa e sia soggetta, di conseguenza, alle pressioni governative e dei servizi segreti Russi (il CEO di Kaspersky, un fottuto genio tra l'altro, ha avuto rapporti con il KGB, anzi parte del suo percorso di formazione si è svolto presso il KGB).
 
Sarebbe curioso capire (anche se probabilmente non lo sapremo mai) come sia stata scoperta questa "feature con scopi di debug lasciata attiva per errore", soprattutto considerando che era undocumented e quindi eventuali ricercatori originali devono averci speso non poco tempo.

EDIT: ho iniziato a leggere questo articolo (https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/) e mi sta esplodendo il cervello. E' abbastanza sospetto, inoltre, che un'eventuale "feature di debug" sia lasciata lì e dimenticata in oltre 5 generazioni diverse di iPhone... non so, magari la verità sta nel mezzo tra quello che dicono USA e Russia, ma c'è da dire che questa chain è davvero ma davvero bella!
 
È piuttosto sospetta la cosa in effetti, per cinque generazioni di iphone. Ho letto la disamina su securelist, ma boh qualche sospetto rimane, una vulnerabilità sul kernel XNU…