La reconocida empresa rusa de ciberseguridad, Kaspersky, ha informado que varios iPhones dentro de su red fueron comprometidos debido a una vulnerabilidad presente en iOS, dicha vulnerabilidad ha sido categorizada como un ZERO-DAY. Esta brecha de seguridad permitió la instalación de software malicioso (malware) en los dispositivos afectados mediante el uso de exploits de ZERO-CLICK a través del servicio de mensajería iMessage. Este tipo de exploits son especialmente preocupantes, ya que no requieren ninguna interacción por parte del usuario para ser efectivos, lo que dificulta su detección y prevención.
Posteriormente, tanto el mensaje como el archivo adjunto son eliminados del dispositivo. Sin embargo, la carga útil (payload) permanece en el sistema, ejecutándose con privilegios de administrador para recolectar información del sistema y del usuario. Además, esta carga útil es capaz de ejecutar comandos enviados por los atacantes, permitiéndoles mantener el control sobre el dispositivo comprometido.
Kaspersky dice que la campaña comenzó en 2019 e informa que los ataques aún continúan. La firma de ciberseguridad ha bautizado a la campaña como «Operación Triangulación» e invita a compartir información a cualquiera que sepa más sobre ella.
Un Resumen del Análisis de Kaspersky
Dado que es imposible analizar iOS directamente desde el dispositivo, Kaspersky recurrió al kit de herramientas de verificación móvil para crear copias de seguridad del sistema de archivos de los iPhone infectados. De esta manera, pudieron recuperar información sobre el proceso de ataque y las funciones del malware. Este enfoque permitió a los expertos de Kaspersky estudiar detalladamente el comportamiento del software malicioso y entender cómo comprometía los dispositivos afectados.
Si bien el malware intenta eliminar los rastros del ataque de los dispositivos, aún deja signos de infección, como modificaciones en los archivos del sistema que impiden la instalación de actualizaciones de iOS, el uso anormal de datos y la inyección de bibliotecas obsoletas.
El análisis reveló que los primeros signos de infección ocurrieron en 2019, y la versión más reciente de iOS que fue infectada por el conjunto de herramientas maliciosas es la 15.7. Tengamos en cuenta que la última versión importante de iOS es 16.5, que podría haber solucionado la vulnerabilidad que fue utilizada en estos ataques.
La empresa de ciberseguridad ha proporcionado una lista de 15 dominios asociados con esta actividad maliciosa, que los administradores de seguridad pueden usar para verificar los registros DNS históricos en busca de posibles signos de explotación en sus dispositivos.
- addatamarket[.]net
- backuprabbit[.]com
- businessvideonews[.]com
- cloudsponcer[.]com
- datamarketplace[.]net
- mobilegamerstats[.]com
- snoweeanalytics[.]com
- tagclick-cdn[.]com
- topographyupdates[.]com
- unlimitedteacup[.]com
- virtuallaughing[.]com
- web-trackers[.]com
- growthtransport[.]com
- anstv[.]net
- ans7tv[.]net
Después de la escalada de privilegios, el malware descarga un conjunto de herramientas con todas las funciones que ejecuta comandos para recopilar información del sistema, del usuario y descargar módulos adicionales del C2.
Kaspersky señala que el conjunto de herramientas APT colocado en el dispositivo no tiene mecanismos de persistencia, por lo que un reinicio del dispositivo detendría de manera efectiva la operación del malware.
Actualmente, solo se han revelado algunos detalles acerca de las funciones del malware, debido a que el análisis de la carga útil final todavía se encuentra en proceso. Una vez que este análisis se complete, se espera que se compartan más detalles sobre el comportamiento y propósito del software malicioso involucrado en el ataque.
Dato curioso: El grupo vx-underground estuvo examinando los registros DNS de algunos de los dominios mencionados en el post de Kaspersky, y descubrió que uno de ellos, específicamente el mobilegamerstats.com, en el registro DNS de «SOA_EMAIL», contenía la dirección de correo electrónico «[email protected]».
Este hallazgo sugiere que, además de utilizar ProtonMail en la operación, parte del personal involucrado en el espionaje podría ser fanático de la cultura del anime y/o manga. Esta suposición se basa en el nombre «Yoshida Haru«, que proviene del anime Tonari no Kaibutsu-kun. Resulta ser un detalle bastante curioso e inesperado en el contexto de una operación de ciberespionaje.
CronUp Ciberseguridad puede validar esta curiosa información al llevar a cabo una revisión de los registros DNS del dominio previamente mencionado.
Rusia responsabiliza a la NSA
En una declaración que coincide con el informe de Kaspersky, la agencia de inteligencia y seguridad, FSB, de Rusia afirma que Apple proporcionó deliberadamente a la NSA una puerta trasera que puede usar para comprometer iPhones en el país con spyware.
El FSB alega que ha descubierto infecciones de malware en miles de iPhones de Apple pertenecientes a funcionarios del gobierno ruso y personal de las embajadas de Israel, China y varias naciones miembros de la OTAN en Rusia.
A pesar de la gravedad de las acusaciones, el FSB no ha proporcionado pruebas de sus afirmaciones.
El estado ruso ha recomendado previamente que todos los empleados y miembros de la administración presidencial dejen de usar iPhones de Apple y, si es posible, renuncien por completo a la tecnología fabricada en Estados Unidos. Algo irónico ya que el otro sistema operativo presente sería Android, desarrollado por Google, que es un empresa norteamericana.
Kaspersky confirmó a BleepingComputer que el ataque impactó tanto su sede central en Moscú como a empleados en otros países. Sin embargo, la compañía manifestó que no puede establecer una conexión entre su descubrimiento y el informe del FSB, debido a que no cuentan con los detalles técnicos de la investigación gubernamental. De esta manera, aunque se confirma la afectación en distintas localidades, la relación entre ambos eventos aún no puede ser verificada.
No obstante, el Centro de Respuesta a Incidentes de Seguridad Informática (CERT) de Rusia emitió una alerta que establece un vínculo entre la declaración del FSB y el informe proporcionado por Kaspersky. Esta conexión sugiere que ambos eventos podrían estar relacionados y que la información obtenida en el análisis de Kaspersky podría ser relevante para la investigación llevada a cabo por el FSB. A pesar de esto, se requiere más información y evidencia concreta para confirmar definitivamente la relación entre ambas instancias y comprender el alcance total del incidente de seguridad.
Es importante mencionar que las acusaciones infundadas podrían tener como objetivo mostrar a la Federación de Rusia como víctima ante el mundo. Esta posibilidad surge debido a un hecho particular: existen empresas dedicadas exclusivamente a la compra y venta de vulnerabilidades ZERO-DAY, siendo las de Android y Apple las más valiosas en el mercado. Los precios estimados de estas vulnerabilidades son tan elevados que solo podrían ser financiados por grandes empresas del sector o agencias de inteligencia. Por lo tanto, no resulta descabellado pensar que agencias como la NSA o la CIA hayan desembolsado grandes sumas de dinero a desarrolladores o cazadores de vulnerabilidades para obtener información sobre estas fallas en las versiones de iOS. Así, se podría especular que algunas de estas acusaciones podrían estar orientadas a generar cierta percepción de victimización, aunque es fundamental contar con pruebas sólidas antes de llegar a conclusiones definitivas. Algo que de Rusia no ha proporcionado correctamente. Mientras que Kaspersky sí, pero sin estar confirmando que podría ser un ataque de la NSA. Al menos por ahora.
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
