La notizia su Operation Triangulation è fuori da un pezzo (Giugno 2023) ma le ultime rivelazioni dalla Russia del colosso Kaspersky hanno sollevato seri dubbi sulla sicurezza di tutti i dispositivi Apple. Molti esperti hanno commentato quest'attacco come il più sofisticato che si sia mai visto e io mi trovo pienamente daccordo con loro, non solo perché usa una catena di ben 4 exploit 0-day, ma perché uno di questi è "speciale" come vedremo dopo. C'è anche un grande effort per ripulire le tracce in automatico, tanto che ci sono voluti circa 6 mesi dalla scoperta iniziale al completamento del report.
1 Chi sono i bersagli
I bersagli di questo attacco sono diplomatici (Russi, SAR, Cinesi, Israeliani ed Europei), VIP, una dozzina di dipendenti di Kaspersky stessa e probabilmente tanti altri che non sanno di essere stati sorvegliati. A quanto pare l'operazione è attiva da almeno il 2019.
2 Metodo di infezione
Il dispositivo viene infettato inizialmente tramite il primo exploit 0-click via iMessage (CVE-2023-41990) che sfrutta una vulnerabilità nel sistema proprietario Apple di parsing dei file font TrueType. A questo punto vengono sfruttati due exploit di kernel privilege excalation (CVE-2023-32434 e CVE-2023-38606) da codice javascript offuscato (e con engine modificato per poter chiamare API native) per avviare la pulizia delle tracce e aprire in background una pagina in Safari contenente un ulteriore exploit RCE 0-click (CVE-2023-32435) che esegue un payload, stavolta binario, che sfrutta nuovamente CVE-2023-32434 e CVE-2023-38606 per poi installare il malware finale.
3 Cosa rende questo attacco così diverso
A rendere diverso quest'attacco da altre catene di exploit viste in precedenza, oltre alla complessità generale, è senza dubbio la vulnerabilità CVE-2023-38606: si tratta dello sfruttamento di funzionalità, non documentate e mai utilizzate per altri scopi, dell'hardware dei dispositivi Apple. Infatti i moderni iPhone hanno protezioni hardware aggiuntive che non permettono la scrittura di certe aree di memoria. Invece usando questa backdoor hardware è possibile scrivere in un area MMIO sconosciuta e non protetta che bypassa completamente il blocco di scrittura presso qualsiasi indirizzo fisico della RAM, di fatto regalando una sorta di interfaccia DMA (Direct Memory Access).
4 Backdoor per debug?
Le principali news dei blog occidentali, a proposito di CVE-2023-38606, parlano di "feature con scopi di debug lasciata attiva per errore", ma Kaspersky insieme all'FSB (servizi segreti Russi) puntano il dito contro l'NSA e Apple insinuando che la backdoor è stata inserita di proposito e che al contrario di quanto afferma Apple, le due entità collaborano attivamente.
5 Conclusione
Tutte 4 le vulnerabilità sono state patchate da Apple attraverso un aggiornamento, secondo i ricercatori in tutto qualche migliaio di dispositivi in tutto il mondo è stato infettato da Triangulation.
E voi cosa ne pensate? Potrebbe essere davvero una feature di test dimenticata? NSA e Apple vanno a braccetto? Oppure Apple è stata forzata a lasciare la chiave della porta sul retro sotto lo zerbino?