El día de hoy, Apple ha publicado sus respectivos parches de seguridad para 2 vulnerabilidades de día cero, que han estado siendo explotados en una campaña de la que el Gobierno ruso ha culpado a Estados Unidos. Para más información haz click aquí.
La campaña, apodada «Operación Triangulación«, fue publicitada por la empresa de ciberseguridad Kaspersky, con sede en Moscú, a principios de junio después de que el malware fuera detectado en los dispositivos de iPhones de sus empleados, así como este miércoles en una nueva investigación que describe cómo se comporta el spyware. Según la documentación, la campaña lleva activa desde 2019 y ataca a sus objetivos mediante el envío de mensajes en iMessages con archivos adjuntos maliciosos.
Las dos vulnerabilidades zero-days, rastreadas CVE-2023-32434 y CVE-2023-32439, fueron reportados cada uno a Apple por los investigadores de Kaspersky. No se tiene constancia de que ninguno de los dos fallos haya afectado a dispositivos más recientes de iOS 15.7.
«Los investigadores de Kaspersky descubrieron vulnerabilidades en el kernel y WebKit durante la investigación del ataque Operación Triangulación reportado a principios de este mes«, dijo la compañía. «El equipo colaboró proactivamente con el equipo de Investigación de Seguridad de Apple compartiendo información sobre el ataque y reportando los exploits«.
Aunque se desconoce el autor exacto de la amenaza, la campaña saltó a la palestra a principios de junio, cuando el Servicio Federal de Seguridad de Rusia (FSB) afirmó que la inteligencia estadounidense estaba utilizando el software espía para atacar los iPhones de diplomáticos rusos. Además de culpar también a la compañía de la manzana por dejar esta vulnerabilidad sin parchear.
En un comunicado publicado el mismo día que el informe de Kaspersky, el FSB afirmaba que Estados Unidos había infectado miles de iPhones con el malware y acusaba a Apple de complicidad en la campaña. Según la agencia, los objetivos eran tanto usuarios nacionales como números extranjeros que utilizaban tarjetas SIM registradas en misiones diplomáticas y embajadas en Rusia.
Aunque ni Kaspersky ni el FSB han vinculado las dos campañas, la agencia rusa de seguridad informática informó de que los indicadores de compromiso eran los mismos. Dando pie a más sospechas por parte del Kremlin.
Tras una investigación de medio año sobre la cadena de explotación, Kaspersky descubrió que el implante se despliega después de que los atacantes obtienen privilegios de root, y el programa espía opera únicamente en la memoria del dispositivo. Su rastro desaparece tras un reinicio del dispositivo, después del cual el malware tendría que volver a instalarse en el dispositivo. El implante también está programado para desaparecer al cabo de 30 días, a menos que los atacantes decidan prorrogarlo.
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
