A equipe de Pesquisa e Análise Global (GReAT) da Kaspersky divulgou novos detalhes sobre a “Operation Triangulation,” um ataque notório que conseguiu infectar dispositivos iOS. As revelações abrangem as vulnerabilidades exploradas no sistema iOS e os exploits criados para esse ataque, que afetou não apenas a Kaspersky, mas também outras organizações.
No meio do ano, a Kaspersky identificou essa campanha avançada, classificada como APT (Ameaça Persistente Avançada), que direcionou dispositivos iOS e a nomeou como “Operation Triangulation”. Este ataque faz uso de uma técnica sofisticada de distribuição de exploits via iMessage, que não requer interação do usuário para infectar o dispositivo, resultando no controle completo do dispositivo e dos dados da vítima. A principal finalidade dessa ameaça, de acordo com a equipe GReAT da Kaspersky, é realizar vigilância secreta das vítimas.
Dado a complexidade do ataque e a natureza fechada do ecossistema iOS, uma força-tarefa exclusiva composta por várias equipes dedicou tempo e recursos substanciais para uma análise técnica detalhada. O relatório final revela que o ciberataque explorou cinco vulnerabilidades no iOS, com quatro delas sendo classificadas como desconhecidas (zero-day), todas corrigidas pela Apple após serem reportadas pelos pesquisadores da Kaspersky.
Os especialistas da empresa identificaram a infecção inicial em uma vulnerabilidade na biblioteca de processamento de fontes. A segunda vulnerabilidade é notavelmente poderosa e de fácil exploração no código de mapeamento de memória, permitindo o acesso à memória física do dispositivo. Além disso, os invasores exploraram outras duas vulnerabilidades para contornar as últimas medidas de segurança de hardware do processador da Apple. Além da infecção via iMessage, os atacantes também tinham a capacidade de realizar ataques por meio do navegador Safari, resultando na descoberta e correção da quinta vulnerabilidade durante a investigação.
As correções de segurança para as quatro vulnerabilidades desconhecidas, anunciadas pelos pesquisadores da Kaspersky, já foram disponibilizadas pela equipe da Apple (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990), afetando vários produtos da empresa, incluindo iPhones, iPods, iPads, dispositivos macOS, Apple TV e Apple Watch.
Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina, destaca a importância de conscientizar as organizações sobre a necessidade de lidar com o sistema iOS com cautela e estar atentas a novas ameaças, já que este ataque não se restringiu à Kaspersky e foi registrado em toda a América Latina.
A Kaspersky também desenvolveu um programa específico para identificar o malware (triangle_check) e disponibilizou um endereço de e-mail para receber contribuições de profissionais do mercado. Isso resultou na confirmação de outras vítimas da Operation Triangulation, que receberam orientações para reforçar sua segurança. O ataque teve como alvo executivos de alto e médio escalão, além de pesquisadores na Rússia, Europa e região META (Oriente Médio, Turquia e África).
Os pesquisadores da Kaspersky recomendam a implementação de medidas de segurança, incluindo atualizar regularmente sistemas operacionais, programas e software de proteção para corrigir vulnerabilidades conhecidas, ter cautela com e-mails, mensagens e ligações suspeitas, permitir que a equipe de SOC acesse relatórios de Threat Intelligence (inteligência de ameaças) e qualificar a equipe de cibersegurança para lidar com ameaças direcionadas. Para detecção e resposta eficazes a ataques, a solução Kaspersky Endpoint Detection and Response é recomendada.
