Rusia acusa a Estados Unidos de hackear miles de iPhones con ataques de clic cero
La firma rusa de ciberseguridad Kaspersky dice que algunos iPhones en su red fueron hackeados utilizando una vulnerabilidad de iOS que instal贸 malware a trav茅s de exploits de clic cero de iMessage.
La entrega del mensaje explota una vulnerabilidad que conduce a la ejecuci贸n de c贸digo sin necesidad de interacci贸n por parte del usuario. Esto genera la descarga de malware adicional del servidor de los atacantes.
Posteriormente, el mensaje y el archivo adjunto se borran del dispositivo. Al mismo tiempo, el payload se queda en segundo plano, ejecut谩ndose con privilegios de root para recopilar informaci贸n del sistema y del usuario y ejecutar comandos enviados por los atacantes.
Kaspersky dice que la campa帽a comenz贸 en 2019 y report贸 que los ataques a煤n contin煤an. La firma de ciberseguridad ha bautizado la campa帽a como “Operation Triangulation” e invit贸 a compartir informaci贸n a cualquiera que sepa m谩s sobre ella.
An谩lisis del malware
Como es imposible analizar iOS desde el dispositivo, Kaspersky us贸 Mobile Verification Toolkit para crear copias de seguridad del sistema de archivos de los iPhone infectados para recuperar informaci贸n sobre el proceso de ataque y la funci贸n del malware.
Si bien el malware intenta eliminar los rastros del ataque de los dispositivos, a煤n deja signos de infecci贸n, como modificaciones en los archivos del sistema que impiden la instalaci贸n de actualizaciones de iOS, el uso anormal de datos y la inyecci贸n de bibliotecas obsoletas.
El an谩lisis revel贸 que los primeros signos de infecci贸n ocurrieron en 2019, y la versi贸n m谩s reciente de iOS que fue infectada por el conjunto de herramientas maliciosas es la 15.7.
Ten en cuenta que la 煤ltima versi贸n importante de iOS es 16.5, que podr铆a haber solucionado la vulnerabilidad utilizada en estos ataques de malware.
El exploit enviado a trav茅s de iMessage desencadena una vulnerabilidad desconocida en iOS para realizar la ejecuci贸n del c贸digo, obteniendo etapas posteriores del servidor del atacante, incluidas las vulnerabilidades de escalada de privilegios.
La empresa de seguridad ha proporcionado una lista de 15 dominios asociados con esta actividad maliciosa, que los administradores de seguridad pueden usar para verificar los registros DNS hist贸ricos en busca de posibles signos de explotaci贸n en sus dispositivos.
Despu茅s de la escalada de privilegios de root, el malware descarga un conjunto de herramientas con funciones que ejecutan comandos para recopilar informaci贸n del sistema y del usuario.
Kaspersky se帽ala que el conjunto de herramientas APT colocado en el dispositivo no tiene mecanismos de persistencia, por lo que un reinicio lo detendr铆a de manera efectiva.
En este momento, solo se hicieron p煤blicos algunos detalles sobre las funciones del malware, ya que el an谩lisis del payload final a煤n est谩 en curso.
Rusia acusa a la NSA de los ataques
En una declaraci贸n que coincide con el informe de Kaspersky, la agencia de inteligencia y seguridad FSB de Rusia afirma que Apple proporcion贸 deliberadamente a la NSA una puerta trasera que puede usar para infectar iPhones en el pa铆s con spyware.
La FSB alega que ha descubierto infecciones de malware en miles de iPhones de Apple pertenecientes a funcionarios del gobierno ruso y personal de las embajadas en Israel, China y varias naciones miembros de la OTAN en Rusia.
A pesar de la gravedad de las acusaciones, el FSB no ha proporcionado pruebas de sus afirmaciones.
El estado ruso ha recomendado previamente que todos los empleados y miembros de la administraci贸n presidencial dejen de usar iPhones de Apple. Pero eso no es todo, si es posible, renuncien por completo a la tecnolog铆a fabricada en Estados Unidos.
Kaspersky confirm贸 que el ataque afect贸 a su oficina central en Mosc煤 y a empleados en otros pa铆ses. A煤n as铆, la compa帽铆a declar贸 que no est谩 en condiciones de verificar un v铆nculo entre su hallazgo y el informe de la FSB, ya que no tienen los detalles t茅cnicos de la investigaci贸n del gobierno.
Sin embargo, el CERT de Rusia emiti贸 una alerta que vincula la declaraci贸n del FSB con el informe de Kaspersky.
Diversos medios se han puesto en contacto con Apple para solicitar un comentario sobre los hallazgos de Kaspersky y las acusaciones de la FSB. No obstante, todav铆a estamos esperando recibir una respuesta.
