Saltar para o conteúdo

Operação Triangulação

Origem: Wikipédia, a enciclopédia livre.

A Operação Triangulação é um ciberataque direcionado a dispositivos iOS, conduzido através da utilização de uma cadeia de quatro vulnerabilidades de dia zero. Divulgado pela primeira vez em junho de 2023, o ataque se destaca por sua complexidade técnica sem precedentes entre os ataques ao iOS. Estima-se um número de milhares de vítimas.

Objetivos do ataque

[editar | editar código-fonte]

O objetivo do ataque era espionagem: extrair mensagens e senhas dos dispositivos, gravar conversas e rastrear a geolocalização. O número exato de vítimas é desconhecido devido ao alto nível de furtividade dos invasores. Algumas fontes estimam milhares de vítimas, incluindo organizações comerciais, governamentais e diplomáticas na Rússia, bem como seus representantes no exterior.[1]

Linha cronológica dos eventos

[editar | editar código-fonte]

1º de junho de 2023: a Kaspersky anuncia a descoberta de rastros de um novo tipo de malware nos dispositivos iOS de seus funcionários. O malware foi projetado para espionagem e é altamente furtivo, detectado apenas pela troca incomum de dados em iPhones infectados. Os rastros das primeiras infecções encontradas pelos investigadores remontam a 2019. O ataque é chamado de Operação Triangulação.[2]

Uma ferramenta chamada triangle_check é lançada para permitir aos usuários verificarem se seus dispositivos iOS foram comprometidos e determinar se foram vítimas do ataque.[3][4][5][6]

21 de junho de 2023: Kaspersky publica pesquisa sobre o implante TriangleDB usado no ataque.[7][8]

24 de julho de 2023: a Apple lança atualizações para o iOS 15.x e 16.x, tratando a vulnerabilidade CVE-2023-38606 no kernel do iOS e CVE-2023-41990 no mecanismo de processamento de fontes FontParser. Essas vulnerabilidades também faziam parte da cadeia de infecção da Operação Triangulação.[9][10]

No mesmo dia, a Apple lança atualizações para o iOS 15.x e 16.x, tratando duas vulnerabilidades exploradas no ataque: CVE-2023-32434 no kernel do iOS e CVE-2023-32435 no mecanismo do navegador WebKit. Essas vulnerabilidades tornaram possível infectar iPhones sem silenciosamente, ignorando os sistemas de segurança do iOS.[11][12]

23 de outubro de 2023: a Kaspersky publica dados sobre a validação em várias etapas de vítimas em potencial feita pelos invasores. Esse processo de filtragem permite que os invasores ataquem apenas os alvos pretendidos e evitem os pesquisadores de segurança.[13]

26 de outubro de 2023: Um relatório a respeito do processo de investigação da Operação Triangulação e os esforços para identificar todos os componentes da cadeia de infecção é apresentado no Security Analyst Summit.[14][15]

27 de dezembro de 2023: Um relatório a respeito de toda a cadeia do ataque e as quatro vulnerabilidades usadas nele é apresentado no Chaos Communication Congress, inclusive recursos não documentados dos processadores Apple.[16][17][18][19][20][21]

28 de dezembro de 2023: O uso de recursos não documentados dos processadores Apple na Operação Triangulação chega ao conhecimento do hacker Hector Martin, que então compartilha informações conhecidas sobre seus possíveis mecanismos e propósitos.[22][23]

Detalhes Técnicos

[editar | editar código-fonte]

A Operação Triangulação é, em sua complexidade técnica, sem precedentes em se tratando de ataques em iOS: a cadeia de infecção consiste em 14 etapas, explorando quatro vulnerabilidades de dia zero e recursos de hardware não documentados dos processadores Apple. Todos os ataques conhecidos tiveram como alvo versões do iOS até 15.7.x, mas as técnicas são eficazes até no iOS 16.2.[24][25][26]

Quando um iMessage especialmente projetado é recebido por um iPhone, o código malicioso é iniciado. Esta mensagem é invisível para o usuário. Dessa forma, componentes adicionais são baixados a partir dos servidores do comando da Operação Triangulação, concedendo altos privilégios no dispositivo e implantando um spyware com amplo acesso ao conteúdo e funções do aparelho.

Infecção do dispositivo

[editar | editar código-fonte]

A infecção inicial é passada por meio de um iMessage oculto. O anexo malicioso do iMessage, disfarçado de um .watchface (um design de tela de relógio – na verdade, um arquivo ZIP com um PDF incorporado), executa um código que abre o Safari em segundo plano, e depois carrega os próximos componentes da cadeia de infecção a partir de uma página da web.

A página da web contém um script validador que analisa os parâmetros do smartphone infectado e decide se deve continuar o ataque. A tecnologia Canvas fingerprinting, que desenha um triângulo na página da web, é usada para identificar as vítimas de forma específica. Esse triângulo dá nome a toda a campanha.

Nesses estágios, o ataque explora as vulnerabilidades de dia zero CVE-2023-41990, CVE-2023-32434 e CVE-2023-38606.

Após fazer uma verificação, o script na página da web explora também a vulnerabilidade CVE-2023-32435 e carrega um código binário na memória do dispositivo, obtendo privilégios de administrador e realizando uma verificação mais detalhada do smartphone para verificar sua correspondência aos interesses dos invasores. Este validador binário também exclui rastros do iMessage recebido e carrega o principal componente malicioso, o TriangleDB.

O malware opera apenas na memória do smartphone, sendo apagado após uma reinicialização. Os invasores podem assim reenviar o iMessage e reinfectar o dispositivo.

Recurso Apple não documentado

[editar | editar código-fonte]

Para driblar as proteções de memória nas gerações recentes dos processadores Apple (A12–A16), a exploração da vulnerabilidade do kernel CVE-2023-38606 utiliza recursos de hardware não documentados dos processadores.

A exploração grava em registros MMIO, que não são descritos na documentação e não são usados por aplicativos iOS ou pelo próprio sistema operacional. Como resultado, o código de exploração pode modificar a área da memória do kernel do iOS protegida pelo hardware. Pesquisadores da Kaspersky sugeriram que esse mecanismo foi provavelmente criado para depurar o próprio processador.[27][28][29]

Alguns especialistas acreditam que "poucas pessoas, ou quase ninguém, fora da Apple e de fornecedores de chips como a ARM Holdings" poderiam saber sobre esse recurso.[30][31]

Hector Martin descreveu um possível mecanismo de exploração baseado em caches de gravação de memória diretos, o que possibilita contornar os mecanismos de proteção destes em alguns casos.[32]

Funcionalidades do implante TriangleDB

[editar | editar código-fonte]

O malware TriangleDB tem uma estrutura modular, desse modo suas funções podem ser estendidas baixando módulos adicionais do servidor.

A versão básica pode fazer upload de arquivos do dispositivo para o servidor dos invasores, extrair dados do gerenciador de senhas keychain, rastrear a geolocalização da vítima e modificar arquivos e processos no smartphone.[33]

Módulos adicionais conhecidos suportam gravação prolongada de microfone (inclusive no modo avião), fazendo consultas aos bancos de dados armazenados no dispositivo e roubando conversas do WhatsApp e do Telegram.[34][35]

Métodos de detecção e remoção

[editar | editar código-fonte]

Bloqueio de atualizações

Um sinal revelador de um smartphone infectado pelo malware  Operação Triangulação é a incapacidade de atualizar o iOS para uma versão mais recente. No entanto, alguns dispositivos infectados continuam a atualizar normalmente.[36]

Análise do backup do iTunes

Rastros da infecção podem ser encontrados nos arquivos do sistema no iPhone. Como esses arquivos não são acessíveis no próprio dispositivo iOS, um backup do iPhone é feito através do iTunes em um computador e depois analisado. A ferramenta triangle_check é usada para análise.[37][38][39][40]

Análise da conexão de rede

O código malicioso da Operação Triangulação estabelece conexões com os servidores dos invasores e uma lista foi disponibilizada ao público.[41]

Removendo a infecção

Para dispositivos completamente comprometidos, os pesquisadores recomendam a seguinte sequência de ações para prevenir uma reinfecção: redefinição de fábrica, desativar o iMessage e atualizar o iOS para uma versão mais recente.[42][43]

Atribuição do ataque

[editar | editar código-fonte]

A Kaspersky não fez nenhuma declaração oficial a respeito da origem do ataque, nem o atribuiu a nenhum grupo hacker ou país.

No entanto, em 1º de junho de 2023, o Serviço Federal de Segurança da Rússia (FSB) emitiu uma nota sobre a descoberta de malware que afeta os telefones celulares da Apple, usando "vulnerabilidades de software fornecidas pelo fabricante". O FSB também acusou diretamente a Apple de colaborar com a NSA. A nota indicou que milhares de telefones foram infectados, incluindo dispositivos fora da Rússia em países da OTAN, no território pós-soviético, em Israel, na Síria e na China.[44][45]

No mesmo dia, a Apple emitiu uma nota negando tais acusações.[46][47]

Vale ressaltar que o FSB e a Kaspersky fizeram declarações independentes. No entanto, alguns especialistas acreditam que ambos estão se referindo à Operação Triangulação.[48][49]

Consequências

[editar | editar código-fonte]

A Apple negou publicamente as acusações de colaborar com agências de inteligência para implantar backdoors.[50][51]

A empresa lançou diversos pacotes de atualização para corrigir as vulnerabilidades do iOS visadas pela Operação Triangulação.[52]

Em julho-agosto de 2023, soube-se que o uso de smartphones e tablets da Apple para fins oficiais foi banido em várias organizações governamentais e comerciais russas, incluindo o Ministério do Desenvolvimento Digital, Ministério da Indústria e Comércio, Ministério dos Transportes, Serviço Tributário Federal e Ferrovias Russas. Mais tarde naquele ano, o Banco Central e o Ministério das Situações de Emergência tomaram a mesma decisão.[53][54]

Em setembro de 2023, foi descoberto que o governo chinês havia decidido expandir sua proibição ao uso do iPhone para incluir não apenas funcionários do governo, mas também empresas controladas pelo Estado.[55][56]

Em 2024, o Ministério da Defesa Nacional da Coreia do Sul anunciou a proibição de iPhones por razões de segurança, enquanto os telefones Android não foram proibidos.[57][58]

Avaliações e recepção do público

[editar | editar código-fonte]

O código de exploração na Operação Triangulação tem sido chamado de o mais sofisticado da história.[59][60]

As características mais notáveis do ataque são o conhecimento dos invasores sobre os recursos não documentados do chip da Apple e o uso de quatro vulnerabilidades de dia zero em um único ataque.[61]

O criptógrafo Bruce Schneier descreveu o ataque como "totalmente insano em sofisticação" e "coisas de estado-nação".[62]

Elon Musk também manifestou interesse na complexidade do ataque e nos possíveis métodos de defesa.[63]

Referências

[editar | editar código-fonte]
  1. Faulconbridge, Guy. «Rússia diz que EUA hackearam milhares de telefones da Apple em plano de espionagem». CNN Brasil. Consultado em 6 de março de 2025 
  2. «Operation Triangulation: iOS devices targeted with previously unknown malware». securelist.com (em inglês). 1 de junho de 2023. Consultado em 6 de março de 2025 
  3. Ventura, Layse (6 de junho de 2023). «Como verificar se seu iPhone está infectado com malware da Operação Triangulação». Olhar Digital. Consultado em 6 de março de 2025 
  4. «New tool scans iPhones for 'Triangulation' malware infection». BleepingComputer (em inglês). Consultado em 6 de março de 2025 
  5. «Tool to find the Operation Triangulation traces». securelist.com (em inglês). 2 de junho de 2023. Consultado em 6 de março de 2025 
  6. KasperskyLab/triangle_check, Kaspersky Lab, 28 de fevereiro de 2025, consultado em 6 de março de 2025 
  7. «TriangleDB, o implante do spyware na Operação Triangulação.». www.kaspersky.com.br. 6 de julho de 2023. Consultado em 6 de março de 2025 
  8. «Dissecting TriangleDB, a Triangulation spyware implant». securelist.com (em inglês). 21 de junho de 2023. Consultado em 7 de março de 2025 
  9. «Sobre o conteúdo de segurança do iOS 15.7.8 e iPadOS 15.7.8 - Suporte da Apple (BR)». Apple Support. Consultado em 7 de março de 2025 
  10. «Sobre o conteúdo de segurança do iOS 16.6 e do iPadOS 16.6 - Suporte da Apple (BR)». Apple Support. Consultado em 7 de março de 2025 
  11. «Sobre o conteúdo de segurança do iOS 15.7.7 e iPadOS 15.7.7 - Suporte da Apple (BR)». Apple Support. Consultado em 7 de março de 2025 
  12. «Sobre o conteúdo de segurança do iOS 16.5.1 e iPadOS 16.5.1 - Suporte da Apple (BR)». Apple Support. Consultado em 7 de março de 2025 
  13. «Triangulation: validators, post-compromise activity and modules». securelist.com (em inglês). 23 de outubro de 2023. Consultado em 7 de março de 2025 
  14. «SAS 2023: Principais pesquisas». www.kaspersky.com.br. 6 de novembro de 2023. Consultado em 7 de março de 2025 
  15. «How Kaspersky obtained all stages of Operation Triangulation». securelist.com (em inglês). 26 de outubro de 2023. Consultado em 7 de março de 2025 
  16. «Operação Triangulação: uma palestra na 37C3». www.kaspersky.com.br. 29 de janeiro de 2024. Consultado em 7 de março de 2025 
  17. «Recurso oculto do iPhone foi explorado em ataques de espionagem». www.tecmundo.com.br. 29 de dezembro de 2023. Consultado em 7 de março de 2025 
  18. «Lecture: Operation Triangulation: What You Get When Attack iPhones of Researchers | Wednesday | Schedule 37th Chaos Communication Congress». fahrplan.events.ccc.de. Consultado em 7 de março de 2025 
  19. «iPhone Triangulation attack abused undocumented hardware feature». BleepingComputer (em inglês). Consultado em 7 de março de 2025 
  20. «iOS security report details 'most sophisticated' iPhone attack ever». Macworld (em inglês). Consultado em 7 de março de 2025 
  21. «Operation Triangulation: The last (hardware) mystery». securelist.com (em inglês). 27 de dezembro de 2023. Consultado em 7 de março de 2025 
  22. «Hector Martin (hacker)». Wikipedia (em inglês). 1 de março de 2025. Consultado em 7 de março de 2025 
  23. «Hector Martin: "So some fun stuff was just presented at 37C3, and…" - Treehouse Mastodon». web.archive.org. 6 de janeiro de 2024. Consultado em 7 de março de 2025 
  24. «Vulnerabilidade de dia zero». Wikipédia, a enciclopédia livre. 6 de novembro de 2023. Consultado em 7 de março de 2025 
  25. Security, I. T. «Descoberta vulnerabilidade nos iPhones associada à "Operação Triangulação"». IT Security. Consultado em 7 de março de 2025 
  26. Mascellino, Alessandro (26 de outubro de 2023). «Operation Triangulation iOS Attack Details Revealed». Infosecurity Magazine (em inglês). Consultado em 7 de março de 2025 
  27. «Recurso oculto do iPhone foi explorado em ataques de espionagem». www.tecmundo.com.br. 29 de dezembro de 2023. Consultado em 7 de março de 2025 
  28. «iPhone Triangulation attack abused undocumented hardware feature». BleepingComputer (em inglês). Consultado em 7 de março de 2025 
  29. «Operation Triangulation: The last (hardware) mystery». securelist.com (em inglês). 27 de dezembro de 2023. Consultado em 7 de março de 2025 
  30. «iPhones da Kaspersky foram hackeados durante quatro anos usando backdoors • Tecnoblog». Tecnoblog. 28 de dezembro de 2023. Consultado em 7 de março de 2025 
  31. Goodin, Dan (27 de dezembro de 2023). «4-year campaign backdoored iPhones using possibly the most advanced exploit ever». Ars Technica (em inglês). Consultado em 7 de março de 2025 
  32. «Hector Martin: "So some fun stuff was just presented at 37C3, and…" - Treehouse Mastodon». web.archive.org. 6 de janeiro de 2024. Consultado em 7 de março de 2025 
  33. «Dissecting TriangleDB, a Triangulation spyware implant». securelist.com (em inglês). 21 de junho de 2023. Consultado em 7 de março de 2025 
  34. «iPhones da Kaspersky foram hackeados durante quatro anos usando backdoors • Tecnoblog». Tecnoblog. 28 de dezembro de 2023. Consultado em 7 de março de 2025 
  35. Goodin, Dan (27 de dezembro de 2023). «4-year campaign backdoored iPhones using possibly the most advanced exploit ever». Ars Technica (em inglês). Consultado em 7 de março de 2025 
  36. «Uma questão de triangulação». www.kaspersky.com.br. 1 de junho de 2023. Consultado em 7 de março de 2025 
  37. Ventura, Layse (6 de junho de 2023). «Como verificar se seu iPhone está infectado com malware da Operação Triangulação». Olhar Digital. Consultado em 6 de março de 2025 
  38. «New tool scans iPhones for 'Triangulation' malware infection». BleepingComputer (em inglês). Consultado em 6 de março de 2025 
  39. «Tool to find the Operation Triangulation traces». securelist.com (em inglês). 2 de junho de 2023. Consultado em 6 de março de 2025 
  40. KasperskyLab/triangle_check, Kaspersky Lab, 28 de fevereiro de 2025, consultado em 6 de março de 2025 
  41. «Operation Triangulation: iOS devices targeted with previously unknown malware». securelist.com (em inglês). 1 de junho de 2023. Consultado em 6 de março de 2025 
  42. «Spyware TriangleDB (iPhone)». www.pcrisk.pt. 10 de julho de 2023. Consultado em 7 de março de 2025 
  43. «Operation Triangulation: iOS devices targeted with previously unknown malware». securelist.com (em inglês). 1 de junho de 2023. Consultado em 6 de março de 2025 
  44. Faulconbridge, Guy. «Rússia diz que EUA hackearam milhares de telefones da Apple em plano de espionagem». CNN Brasil. Consultado em 6 de março de 2025 
  45. «Russia says US hacked thousands of Apple phones in spy plot». Reuters (em inglês). Consultado em 7 de março de 2025 
  46. «Apple nega cooperação com a NSA em suposto ataque de espionagem na Rússia». blogdoiphone.com. 1 de junho de 2023. Consultado em 7 de março de 2025 
  47. «Apple denies surveillance claims made by Russia's FSB». Reuters (em inglês). Consultado em 7 de março de 2025 
  48. Brito, Edivaldo (22 de junho de 2023). «Falha permitia instalar spyware de triangulação no iMessage». Blog do Edivaldo - Informações e Notícias sobre Linux. Consultado em 7 de março de 2025 
  49. Goodin, Dan (1 de junho de 2023). «"Clickless" iOS exploits infect Kaspersky iPhones with never-before-seen malware». Ars Technica (em inglês). Consultado em 7 de março de 2025 
  50. redacaobyte. «iPhone tinha "porta secreta" para hackers espiões, diz empresa». Terra. Consultado em 7 de março de 2025 
  51. «Apple denies surveillance claims made by Russia's FSB». Reuters (em inglês). Consultado em 7 de março de 2025 
  52. «About the security content of iOS 16.4 and iPadOS 16.4». Apple Support (em inglês). Consultado em 7 de março de 2025 
  53. CNN, Da. «Funcionários do governo russo são proibidos de usar iPhones, segundo jornal». CNN Brasil. Consultado em 7 de março de 2025 
  54. «Смартфоны Apple запретили использовать в служебных целях. Какая мобильная экосистема может прийти им на смену?». Российская газета (em russo). 13 de agosto de 2023. Consultado em 7 de março de 2025 
  55. Korn, Pauline Lockwood, Jennifer. «China proíbe uso de iPhones para funcionários do governo, diz jornal». CNN Brasil. Consultado em 7 de março de 2025 
  56. «Apple faces partial iPhone ban in China». euronews (em inglês). 7 de setembro de 2023. Consultado em 7 de março de 2025 
  57. Moschen, Vinícius (23 de abril de 2024). «iPhone pode ser banido entre militares da Coreia do Sul». Canaltech. Consultado em 7 de março de 2025 
  58. Joo-young, Hwang (23 de abril de 2024). «[Exclusive] Korean military set to ban iPhones over 'security' concerns». The Korea Herald (em inglês). Consultado em 7 de março de 2025 
  59. «Exame Informática | "Definitivamente o ataque mais sofisticado que já vimos". Como o Triangulation infetou dezenas de iPhone». Visão. 2 de janeiro de 2024. Consultado em 7 de março de 2025 
  60. Goodin, Dan (27 de dezembro de 2023). «4-year campaign backdoored iPhones using possibly the most advanced exploit ever». Ars Technica (em inglês). Consultado em 7 de março de 2025 
  61. «Recurso oculto do iPhone foi explorado em ataques de espionagem». www.tecmundo.com.br. 29 de dezembro de 2023. Consultado em 7 de março de 2025 
  62. Schneier, Bruce (4 de janeiro de 2024). «New iPhone Exploit Uses Four Zero-Days». Schneier on Security (em inglês). Consultado em 7 de março de 2025 
  63. Olinga, Luc (2 de junho de 2023). «Elon Musk Flags Sophisticated Attack Against Apple's iPhones». TheStreet (em inglês). Consultado em 7 de março de 2025 
Obtida de "https://pt.wikipedia.org/w/index.php?title=Operação_Triangulação&oldid=69690568"