Rusia acusa a Estados Unidos de hackear miles de iPhones con ataques de clic cero
La firma rusa de ciberseguridad Kaspersky dice que algunos iPhones en su red fueron hackeados utilizando una vulnerabilidad de iOS que instaló malware a través de exploits de clic cero de iMessage.
La entrega del mensaje explota una vulnerabilidad que conduce a la ejecución de código sin necesidad de interacción por parte del usuario. Esto genera la descarga de malware adicional del servidor de los atacantes.
Posteriormente, el mensaje y el archivo adjunto se borran del dispositivo. Al mismo tiempo, el payload se queda en segundo plano, ejecutándose con privilegios de root para recopilar información del sistema y del usuario y ejecutar comandos enviados por los atacantes.
Kaspersky dice que la campaña comenzó en 2019 y reportó que los ataques aún continúan. La firma de ciberseguridad ha bautizado la campaña como “Operation Triangulation” e invitó a compartir información a cualquiera que sepa más sobre ella.
Análisis del malware
Como es imposible analizar iOS desde el dispositivo, Kaspersky usó Mobile Verification Toolkit para crear copias de seguridad del sistema de archivos de los iPhone infectados para recuperar información sobre el proceso de ataque y la función del malware.
Si bien el malware intenta eliminar los rastros del ataque de los dispositivos, aún deja signos de infección, como modificaciones en los archivos del sistema que impiden la instalación de actualizaciones de iOS, el uso anormal de datos y la inyección de bibliotecas obsoletas.
El análisis reveló que los primeros signos de infección ocurrieron en 2019, y la versión más reciente de iOS que fue infectada por el conjunto de herramientas maliciosas es la 15.7.
Ten en cuenta que la última versión importante de iOS es 16.5, que podría haber solucionado la vulnerabilidad utilizada en estos ataques de malware.
El exploit enviado a través de iMessage desencadena una vulnerabilidad desconocida en iOS para realizar la ejecución del código, obteniendo etapas posteriores del servidor del atacante, incluidas las vulnerabilidades de escalada de privilegios.
La empresa de seguridad ha proporcionado una lista de 15 dominios asociados con esta actividad maliciosa, que los administradores de seguridad pueden usar para verificar los registros DNS históricos en busca de posibles signos de explotación en sus dispositivos.
Después de la escalada de privilegios de root, el malware descarga un conjunto de herramientas con funciones que ejecutan comandos para recopilar información del sistema y del usuario.
Kaspersky señala que el conjunto de herramientas APT colocado en el dispositivo no tiene mecanismos de persistencia, por lo que un reinicio lo detendría de manera efectiva.
En este momento, solo se hicieron públicos algunos detalles sobre las funciones del malware, ya que el análisis del payload final aún está en curso.
Rusia acusa a la NSA de los ataques
En una declaración que coincide con el informe de Kaspersky, la agencia de inteligencia y seguridad FSB de Rusia afirma que Apple proporcionó deliberadamente a la NSA una puerta trasera que puede usar para infectar iPhones en el país con spyware.
La FSB alega que ha descubierto infecciones de malware en miles de iPhones de Apple pertenecientes a funcionarios del gobierno ruso y personal de las embajadas en Israel, China y varias naciones miembros de la OTAN en Rusia.
A pesar de la gravedad de las acusaciones, el FSB no ha proporcionado pruebas de sus afirmaciones.
El estado ruso ha recomendado previamente que todos los empleados y miembros de la administración presidencial dejen de usar iPhones de Apple. Pero eso no es todo, si es posible, renuncien por completo a la tecnología fabricada en Estados Unidos.
Kaspersky confirmó que el ataque afectó a su oficina central en Moscú y a empleados en otros países. Aún así, la compañía declaró que no está en condiciones de verificar un vínculo entre su hallazgo y el informe de la FSB, ya que no tienen los detalles técnicos de la investigación del gobierno.
Sin embargo, el CERT de Rusia emitió una alerta que vincula la declaración del FSB con el informe de Kaspersky.
Diversos medios se han puesto en contacto con Apple para solicitar un comentario sobre los hallazgos de Kaspersky y las acusaciones de la FSB. No obstante, todavía estamos esperando recibir una respuesta.
