0 0 Pelo menos nos últimos quatro anos, um ator de ameaça persistente avançada (APT) vem roubando secretamente informações de dispositivos iOS pertencentes a um número desconhecido de vítimas, usando uma exploração de clique zero entregue via iMessage. O principal aparato de inteligência da Rússia, o Serviço Federal de Segurança da Federação Russa (FSB), alega que os ataques são obra da Agência de Segurança Nacional (NSA) nos Estados Unidos e que afetaram milhares de diplomatas russos e outros. Até agora, não há evidências para apoiar essas alegações.
O que pode ser confirmado é o fato de que os pesquisadores da Kaspersky descobriram o malware depois de detectar atividades suspeitas originadas de dezenas de telefones iOS infectados em sua própria rede Wi-Fi corporativa. A investigação em andamento da empresa sobre a campanha – que ainda está ativa, enfatizaram os pesquisadores – mostrou que o malware está transmitindo silenciosamente gravações de microfone, fotos de mensagens instantâneas, geolocalização do usuário e outros dados privados sobre o proprietário para servidores remotos de comando e controle (C2).
A Kaspersky disse que está “bastante confiante” de que a empresa não foi o único alvo da Operação Triangulação, como apelidou a campanha. O fornecedor de segurança está atualmente trabalhando com outros pesquisadores e equipes nacionais de resposta a emergências computacionais para entender todo o escopo do ataque – e observa que, por enquanto, a atribuição é difícil.
“Estamos aguardando mais informações de nossos colegas das CERTs nacionais e da comunidade de segurança cibernética para entender a real exposição desta campanha de espionagem”, disse Igor Kuznetsov, chefe da unidade EEMEA da Equipe Global de Pesquisa e Análise da Kaspersky, ao Dark Reading. “Embora não seja certo, acreditamos que o ataque não foi direcionado especificamente à Kaspersky – a empresa é a primeira a descobri-lo.”
Ele acrescenta: “A julgar pelas características do ataque cibernético, não podemos vincular essa campanha de espionagem cibernética a qualquer ator de ameaça existente”.
Além disso, “é muito difícil atribuir algo a alguém”, disse Kuznetsov à Reuters em resposta específica às alegações de espionagem da Rússia nos EUA.
Alegações da Rússia sobre conspiração de espionagem dos EUA
Por sua vez, o FSB disse em um comunicado à mídia que o spyware infectou “vários milhares” de dispositivos da Apple, visando diplomatas de Israel, Síria, China e membros da Otan, bem como assinantes russos domésticos. Ele continua a afirmar, sem provas, que os ataques equivalem a um complô entre a Apple e a NSA para construir uma poderosa infraestrutura de vigilância para bisbilhotar aqueles com laços com a Rússia.
“A coleta de dados ocultos foi realizada por meio de vulnerabilidades de software em telefones celulares fabricados nos EUA”, disse o Ministério das Relações Exteriores da Rússia em seu comunicado. “Os serviços de inteligência dos EUA usam corporações de TI há décadas para coletar dados em larga escala de usuários da Internet sem seu conhecimento.”
Os acusados negaram as acusações ou se recusaram a comentar.
“Nunca trabalhamos com nenhum governo para inserir um backdoor em qualquer produto da Apple e nunca o faremos”, disse a Apple em um comunicado à Reuters, que relatou pela primeira vez as alegações. A NSA e as autoridades israelenses se recusaram a comentar, e representantes chineses, sírios e da Otan não puderam comentar imediatamente, de acordo com o veículo.
Triangulação de Operações
O malware está entre um número crescente de alvos em dispositivos iOS no ano passado. Analistas apontaram a crescente presença da Apple em ambientes corporativos e o uso crescente da linguagem Go compatível com multiplataforma para o desenvolvimento de malware como razões para a tendência.
No lado técnico, o entendimento da Kaspersky sobre o ataque até agora é baseado em sua análise de backups offline dos dispositivos iOS infectados em sua rede usando o Mobile Verification Toolkit (MVT) de código aberto. Os diferentes utilitários do kit de ferramentas permitem a análise forense de dispositivos iOS e Android para identificar — entre outras coisas — a presença de ferramentas de spyware como o Pegasus neles.
A Kaspersky usou o MVT nos backups off-line para reconstruir a sequência de eventos que levam desde a infecção inicial do dispositivo até o comprometimento total do dispositivo. A empresa descobriu que a infecção inicial geralmente começava com o dispositivo iOS alvo recebendo um iMessage de uma fonte aleatória, com um anexo contendo uma exploração de clique zero.
Ao chegar ao dispositivo, o iMessage dispara automaticamente uma vulnerabilidade do iOS — sem qualquer interação do usuário — que resulta na execução remota de código (RCE) no dispositivo infectado. O código mal-intencionado baixa vários componentes mal-intencionados adicionais de servidores C2 remotos, incluindo um que permite o escalonamento de privilégios e a aquisição completa do dispositivo.
A Kaspersky ainda não concluiu sua análise completa da carga útil final. Mas ele foi capaz de determinar que o malware é executado com privilégios de root em dispositivos infectados e assume o controle total do telefone e de todos os dados do usuário nele. Uma vez que o malware assume o controle de um dispositivo, ele exclui automaticamente o iMessage que ativou sua presença no dispositivo.
Dada a sofisticação da campanha de espionagem cibernética e a complexidade da análise da plataforma iOS, serão necessárias mais pesquisas para descobrir todas as vulnerabilidades do iOS que o malware na campanha Operação Triangulação pode explorar, diz Kuznetsov. “Vamos atualizar a comunidade sobre novas descobertas assim que surgirem”, diz ele. “Durante a linha do tempo do ataque, as vulnerabilidades de um dia já foram vulnerabilidades de dia zero.”
Kuznetsov diz que os pesquisadores da Kaspersky conseguiram até agora identificar pelo menos uma das muitas vulnerabilidades que o malware parece estar explorando. A falha é rastreada como CVE-2022-46690, um chamado problema de gravação fora dos limites que a Apple divulgou e corrigiu em dezembro de 2022. A Apple descreveu a vulnerabilidade crítica como permitindo que um aplicativo execute código arbitrário com privilégios no nível do kernel.
Apple Spyware infecções difíceis de detectar
A Kaspersky descobriu o malware enquanto monitorava sua rede Wi-Fi para dispositivos móveis usando a Plataforma Unificada de Monitoramento e Análise Kaspersky (KUMA) da empresa. Não está claro por que a empresa não detectou a atividade mais cedo, considerando que alguns dos dispositivos iOS foram infectados já em 2019.
Kuznetsov diz que os pesquisadores geralmente descobrem a atividade do APT quando o agente da ameaça comete um erro operacional. Em outros casos, peças diferentes simplesmente levam tempo para se unir.
“Às vezes, precisamos gastar tempo realizando uma análise técnica adequada de uma nova ameaça, coletando mais informações sobre seu modus operandi, por exemplo”, diz ele. “Assim que tivermos uma imagem clara, publicamos nossas descobertas.”
A Kaspersky publicou informações detalhadas e indicadores de comprometimento em seu blog que as organizações podem usar para detectar e remediar dispositivos infectados, juntamente com um utilitário “triangle_check” que as organizações podem usar para verificar backups e verificar se há infecção.
FONTE: DARK READING
