A Equipe de Pesquisa e Análise Global (GReAT) da Kaspersky revela novos detalhes da Operation Triangulation, que ficou famosa pois conseguiu infectar dispositivos iOS. As novidades envolvem as vulnerabilidades no sistema iOS exploradas e os exploits criados para esse ataque – que atingiu tanto a Kaspersky quanto outras organizações.
Na metade do ano, a Kaspersky descobriu essa campanha avançada (APT – ameaça persistente avançada) que visa dispositivos iOS e a nomeou como “Operation Triangulation”. Ela emprega um método sofisticado de distribuição de exploits pelo iMessage que não necessitam de interação do usuário para realizar a infecção e, ao final, assume controle total do dispositivo e dos dados da vítima. A Equipe GReAT da Kaspersky avaliou que o objetivo principal dessa ameaça envolve a vigilância oculta das vítimas.
Devido à complexidade do ataque e à natureza fechada do ecossistema iOS, houve uma força-tarefa exclusiva formada por várias equipes que investiu muito tempo e recursos na realização dessa análise técnica detalhada. O relatório final mostra que o ciberataque se aproveitou de cinco vulnerabilidades no iOS, sendo quatro delas classificadas como desconhecidas (zero-day), e todas foram corrigidas após os pesquisadores da Kaspersky as reportarem à Apple.
Os especialistas da empresa identificaram a infecção inicial em uma vulnerabilidade na biblioteca de processamento de fontes. Já a segunda é uma vulnerabilidade extremamente poderosa e superficialmente explorável no código de mapeamento da memória, e que permite o acesso à memória física do dispositivo. Além dessas, os atacantes exploraram outras duas vulnerabilidades para contornar os recursos mais recentes de segurança de hardware do processador da Apple.
Os pesquisadores também descobriram que, além da funcionalidade de infectar dispositivos Apple remotamente por meio do iMessage sem qualquer interação do usuário, os atacantes também tinham uma plataforma para realizar ataques por meio do navegador Safari. Isso resultou na descoberta e correção da quinta e última vulnerabilidade descoberta na investigação.
As correções de segurança para as quatro vulnerabilidades desconhecidas anunciadas pelos pesquisadores da Kaspersky já foram disponibilizadas pela equipe da Apple (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990). Elas afetam diversos produtos da companhia, como iPhones, iPods, iPads, dispositivos macOS, Apple TV e Apple Watch.
“A preocupação da Apple com a segurança de seus dispositivos móveis é louvável, mas a investigação Operation Triangulation serve como lembrete que não existe segurança invulnerável. As organizações precisam ter cautela ao lidar com o sistema iOS e ter atenção às novas descobertas, como esta que acabamos de anunciar, para saber como se proteger das mais recentes ameaças. Vale lembrar que o ataque descrito nessa investigação não se limitou à Kaspersky e, inclusive, registramos ataques na América Latina. Então vale o alerta!”, destaca Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.
Junto com os relatórios sobre a investigação do novo ataque, a Kaspersky desenvolveu um programa específico para identificar o malware (o triangle_check) e disponibilizaram um endereço de e-mail para que qualquer profissional do mercado pudesse contribuir com a investigação.
Como resultado, a Equipe de Pesquisa e Análise Global recebeu a confirmação de outras vítimas da Operation Triangulation, que receberam orientações para reforçar a segurança. Já dentro da Kaspersky, o ataque teve como alvo executivos de alto e médio escalão, além de pesquisadores baseados na Rússia, Europa e região META (Oriente Médio, Turquia e África).
“Não é fácil proteger sistemas contra ciberataques avançados, sendo ainda mais complicado em sistemas fechados, como o iOS. Por isso, é extremamente importante implementar medidas de segurança em vários níveis para detectar e evitar possíveis infecções”, recomenda Assolini.
Para evitar tornar-se vítima de um ataque direcionado, os pesquisadores da Kaspersky recomendam implementar algumas medidas de segurança, como atualizar regularmente os sistemas operacionais, programas e software de proteção para corrigir todas as vulnerabilidades conhecidas; e manter cuidado com e-mails, mensagens ou ligações em que são solicitadas informações sigilosas ou pessoais. O usuário deve confirmar a identidade do remetente antes de compartilhar dadoa pessoaia ou clicar em links.
Dentro das corporações, aequipe de SOC (centro operacional de segurança) precisa ter acesso a relatórios de Threat Intelligence (inteligência de ameaças) com informações recentes de novos ataques. Além disso, as equipes de cibersegurança precisam ser qualificadas para lidar com as ameaças direcionadas mais recentes.
