Ataque APT foi descoberto em meados de 2023 pela empresa de cibersegurança. Nova vulnerabilidade permite aos atacantes burlar a proteção de memória no iOS 16.6 ou inferiores
A Equipe Global de Investigação e Análise (GReAT) da Kaspersky revela uma vulnerabilidade de hardware até então desconhecida nos iPhones, que desempenhou um papel fundamental nos mais recentes ataques realizados pela campanha de espionagem 'Operation Triangulation' - uma ameaça avançada persistente (APT) direcionada a dispositivos Apple e descoberta em meados de 2023 pela empresa de cibersegurança. Essa vulnerabilidade permite aos atacantes burlar a proteção de memória em iPhones com versões do iOS 16.6 ou inferiores.
A vulnerabilidade é uma caraterística do hardware, possivelmente baseada no princípio de "segurança por obscuridade", e pode ter sido desenhada para a execução de testes ou debugging. Após o ataque inicial ao iMessage e consequente obtenção de privilégios de acesso, os atacantes utilizam essa funcionalidade de hardware para contornar as proteções de segurança e manipular o conteúdo das áreas de memória protegidas. Este passo foi crucial para obter o controle total do dispositivo. A Apple já corrigiu essa vulnerabilidade e identificou-a como CVE-2023-38606.
Segundo a Kaspersky, a vulnerabilidade ainda não havia sido documentada publicamente, o que representa um desafio para sua deteção e análise usando os métodos de segurança convencionais. Os investigadores do GReAT fizeram uma detalhada engenharia reversa, analisando meticulosamente a integração de hardware e software do iPhone. A equipe teve também de decifrar o funcionamento do SoC (System on a chip) e a sua interação com o sistema operacional iOS, especialmente no que diz respeito à gestão da memória e aos mecanismos de proteção.
“Esta não é uma vulnerabilidade comum. Devido à natureza fechada do ecossistema iOS, o processo de descoberta foi desafiante e moroso, exigindo uma compreensão abrangente das arquiteturas de hardware e software. O que esta descoberta nos ensinou, mais uma vez, é que mesmo as proteções avançadas baseadas em hardware podem tornar-se ineficazes frente a um atacante sofisticado, sobretudo quando existem características de hardware que permitem burlar essas proteções”, avalia Boris Larin, investigador sênior de segurança da Kaspersky.
O grupo APT “Operation Triangulation” é uma campanha sofisticada que utiliza exploits desconhecidos (zero-day) distribuídos por meio do iMessage, permitindo aos atacantes obter controle total sobre o dispositivo visado e acessar seus dados. Frente a essa situação, a Apple já disponibilizou um conjunto de correções de segurança para resolver as quatro vulnerabilidades de zero-day identificadas nas investigações da Kaspersky e que podem afetar diversos dispositivos, como iPhones, iPods, iPads, computadores com macOS, Apple TV e Apple Watch. A Kaspersky também reportou à Apple sobre a exploração da funcionalidade de hardware, o que levou à sua posterior correção.
Para saber mais sobre a “Operação Triangulação” e os detalhes da análise técnica, acesse o relatório em Securelist.com.
Para evitar ser vítima de um ataque sofisticado, realizado por um grupo conhecido ou desconhecido, os investigadores da Kaspersky recomendam a implementação das seguintes medidas de segurança:
- Atualize regularmente os sistema operacional, programas e proteção de segurança para corrigir quaisquer vulnerabilidades conhecidas.
- Dê acesso à equipe SOC (Security Operation Center) às mais recentes informações sobre ameaças (Threat Inteligence report). O Portal de Inteligência de Ameaças da Kaspersky é um ponto de acesso único para a TI da empresa, fornecendo dados de ciberataques e conhecimentos recolhidos pela Kaspersky ao longo de mais de 20 anos.
- Capacite sua equipe de cibersegurança para enfrentar as mais recentes ameaças direcionadas com a formação online Kaspersky desenvolvida por especialistas do GReAT.
- Para a detecção, investigação e correção de incidentes no endpoint, adote soluções EDR como o Endpoint de Deteção e Resposta da Kaspersky.
- Investigue alertas e ameaças identificados pelos controles de segurança por meio de Serviços de Resposta a Incidentes e Forense Digital da Kaspersky para obter informações mais aprofundadas.
