Operazione Triangulation: una funzionalità non documentata in iPhone sfruttata per una campagna di spionaggio di oltre 4 anni

I ricercatori della società di sicurezza Kaspersky hanno presentato una nuova analisi riguardante una sofisticata campagna di spionaggio che ha preso di mira, durante almeno quattro anni di esecuzione, migliaia di individui impiegati in missioni diplomatiche e ambasciate in Russia, nonché all'interno della stessa Kaspersky. La campagna di spionaggio è stata condotta sfruttando quattro vulnerabilità 0-day presenti nei dispositivi hardware Apple, iPhone in particolare, che la Mela ha corretto lo scorso mese di giugno quando sono venute a galla le prime informazioni di questa operazione, battezzata con il nome di "Triangulation".

Uno degli aspetti più importanti di questa operazione risiede nel fatto che gli attaccanti hanno potuto raggiungere un livello di accesso ai dispositivi particolarmente profondo, sfruttando una vulnerabilità di una funzione hardware non documentata e che, secondo i ricercatori, difficilmente può essere nota al di fuori degli ambienti Apple o di ARM Holdings. In particolare la sofisticata catena di attacco e lo sfruttamento della vulnerabilità suggeriscono che si tratti di un attore di minaccia con capacità tecniche particolarmente avanzate.

La catena di attacco prende il via con lo sfruttamento della vulnerabilità CVE-2023-41990 a carico dell'implementazione dei font TrueType di Apple. In particolare gli attori di minaccia hanno inviato un allegato iMessage che l'applicazione processa senza che venga mostrato nulla all'utente. In questo modo gli attaccanti riescono ad eseguire codice in remoto, nonostante permessi di sistema minimi.

Anche questo codice in remoto (JavaScript) riesce ad essere eseguito in maniera completamente invisibile all'utente e prende di mira il kernel e la memoria di sistema con l'obiettivo di riuscire ad ottenere l'accesso alla memoria del dispositivo sfruttando le vulnerabilità CVE-2023-32434 e CVE-2023-38606: quest'ultima è quella che ha destato il maggior interesse dei ricercatori di sicurezza e di cui parleremo poco oltre.

Una volta raggiunto questo stadio dell'attacco, gli attori di minaccia hanno nascosto le tracce di violazione ed eseguito un processo Safari in modalità invisibile, per sfruttare la vulnerabilità CVE-2023-32435 ed eseguire ulteriore codice che consentisse loro di ottenere permessi di root, al fine di installare uno spyware (che i ricercatori hanno chiamato anch'esso Triangulation) con funzionalità complete e capace di trasmettere ai server controllati dagli aggressori le registrazioni del microfono, le foto, i dati di geolocalizzazione e altre informazioni sensibili.

Lo spyware non ha caratteristiche di persistenza e quindi non è in grado di sopravvivere ad un riavvio del dispositivo. Tuttavia le avanzate capacità "stealth" sfruttate nella catena di attacco e il fatto che tutto avvenga in modalità pressoché automatica dal momento che non è richiesta alcuna interazione dell'utente, rendono possibile infettare nuovamente un dispositivo semplicemente ricominciando dall'inizio, con l'invio di un nuovo allegato iMessage.

Le quattro falle 0-day sono presenti anche in Mac, iPad, Apple TV e Apple Watch, ma sono tutte state corrette durante il mese di giugno. 

Come dicevamo, ciò che ha attirato maggiormente l'attenzione dei ricercatori è stata la vulnerabilità CVE-2023-38606 che ha consentito agli attaccanti di aggirare le protezioni hardware che nei dispositivi Apple servono per mettere al sicuro aree sensibili della memoria. Queste protezioni evitano che gli attaccanti possano ottenere il pieno controllo del dispositivo anche dopo aver avuto accesso alla memoria (com'è avvenuto sfruttando la già citata CVE-2023-32434).

Gli attori di minaccia sono riusciti a scavalcare queste protezioni usando un'altra caratteristica hardware dei SoC progettati da Apple, in particolare scrivendo dati su un determinato indirizzo fisico andando a scrivere i dati stessi, l'indirizzo di destinazione e gli hash su registri hardware sconosciuti presenti nel chip e non documentati e nemmeno utilizzati dal firmware.

L'ipotesi dei ricercatori è che si tratti di caratteristiche probabilmente usate a scopi di debug o di test dagli ingegneri Apple o eventualmente implementate per errore. E dal momento che non sono utilizzate dal firmware, i ricercatori non sono in grado di stabilire come gli attori di minaccia abbiano potuto apprendere come utilizzarli. I ricercatori stessi sono riusciti a scoprire queste funzionalità non documentate solo dopo mesi di complicate operazioni di reverse engineering, senza tuttavia comprenderne le origini e se si tratti di funzionalità native all'interno dei dispositivi Apple o abilitate da un componente hardware terzo come ad esempio CoreSight di ARM.

Il reverse engineering potrebbe essere il modo in cui anche gli attaccanti sono venuti a conoscenza di queste funzionalità, ma i ricercatori stanno al momento vagliando anche altre possibilità, come ad esempio una divulgazione accidentale in precedenti release del firmware o di codice sorgente.

Boris Larin, ricercatore di sicurezza per Kaspersky, ha dichiarato in occasione del 37° Chaos Communication Congress di Amburgo: "Non è una vulnerabilità ordinaria. A causa della natura chiusa dell'ecosistema iOS, il processo di scoperta è stato sia impegnativo che dispendioso in termini di tempo, richiedendo una comprensione completa delle architetture hardware e software. Questa scoperta ci insegna ancora una volta che anche le avanzate protezioni hardware possono essere rese inefficaci davanti ad un attaccante sofisticato, in particolare quando ci sono funzionalità hardware che permettono di aggirare queste protezioni".

I ricercatori non possono al momento attribuire con certezza questa campagna di spionaggio ad alcuna mano nota in quanto le caratteristiche uniche riscontrate nell'operazione Triangulation non sono sovrapponibili con quelle di altre campagne già conosciute.