Una minaccia avanzata persistente (APT – Advanced Persistent Threat) fino ad ora sconosciuta sta prendendo di mira i dispositivi iOS, ciò include un paio di zero day che sono stati utilizzati come armi in una sofisticata campagna di sorveglianza dei dispositivi chiamata Operation Triangulation iniziata nel 2019. Non è ancora noto l’esatto attore della minaccia.

“Gli obiettivi vengono infettati utilizzando exploit zero-click tramite la piattaforma iMessage e il malware viene eseguito con privilegi di root, ottenendo il controllo completo sul dispositivo e sui dati dell’utente”, ha affermato Kaspersky.

• CVE-2023-32434– Una vulnerabilità di overflow di numeri interi nel kernel che potrebbe essere sfruttata da un’app dannosa per eseguire codice arbitrario con privilegi del kernel.
• CVE-2023-32435– Una vulnerabilità di danneggiamento della memoria in WebKit che potrebbe causare l’esecuzione di codice arbitrario durante l’elaborazione di contenuti Web appositamente predisposti.

Apple ha affermato di essere consapevole del fatto che i due problemi “potrebbero essere stati sfruttati per attaccare le versioni di iOS rilasciate prima di iOS 15.7“, ringraziando i ricercatori di Kaspersky Georgy Kucherin, Leonid Bezvershenko e Boris Larin per averli segnalati.

L’allerta arriva quando il fornitore russo di sicurezza informatica, dopo aver ha creato un backup offline dei dispositivi presi di mira, ha scopertro tracce di infezione ed ha sezionato l’impianto di spyware utilizzato nella campagna di attacco zero-click.

I dispositivi iOS tramite iMessages ricevono un messaggio che contiene un allegato incorporato con un exploit per la vulnerabilità dell’esecuzione del codice remoto del kernel (RCE – Remote Code Execution).

Il codice di exploit, che si dice sia uno zero-click, (che significa che la ricezione del messaggio attiva la vulnerabilità del dispositivo, senza richiedere alcuna interazione, quindi click, da parte dell’utente per ottenere l’esecuzione del codice) è inoltre progettato per scaricare componenti aggiuntivi per ottenere i privilegi di root sul dispositivo di destinazione, dopodiché la backdoor viene distribuita in memoria e l’iMessage iniziale viene eliminato per nascondere la traccia dell’infezione.

Il sofisticato impianto, chiamato TriangleDB , opera esclusivamente nella memoria, senza lasciare traccia della sua attività dopo il riavvio del dispositivo. Inoltre è dotato di diverse capacità di raccolta e tracciamento dei dati. Ciò include “l’interazione con il file system del dispositivo (inclusa la creazione, la modifica, l’esfiltrazione e la rimozione dei file), la gestione dei processi, l’estrazione degli elementi delle chiavi di cifratura per raccogliere le credenziali della vittima e il monitoraggio della geolocalizzazione della vittima, tra le altre cose”.

Nel tentativo di completare il puzzle dell’attacco e mettere insieme le sue diverse parti, Kaspersky ha rilasciato una utility chiamata ” triangle_check “ che le organizzazioni possono utilizzare per scansionare i backup dei dispositivi iOS e cercare eventuali segni di compromissione sui propri dispositivi.

Apple ha anche rilasciato una path su un terzo zero-day CVE-2023-32439 , che è stato segnalato in modo anonimo e potrebbe comportare l’esecuzione di codice arbitrario durante l’elaborazione di contenuti Web malevoli.

Il difetto sfruttato, è stato risolto con un miglioramento dei controlli. Gli aggiornamenti sono disponibili per le seguenti piattaforme:

• iOS 16.5.1 e iPadOS 16.5.1– iPhone 8 e successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e successivi, iPad 5a generazione e successivi e iPad mini 5a generazione e successivi
• iOS 15.7.7 e iPadOS 15.7.7– iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
• macOS Ventura 13.4.1, macOS Monterey 12.6.7 e macOS Big Sur 11.7.8
• watchOS 9.5.2– Apple Watch serie 4 e versioni successive
• watchOS 8.8.1– Apple Watch serie 3, serie 4, serie 5, serie 6, serie 7 e SE e
• Safari 16.5.1– Mac con macOS Monterey

Con l’ultima serie di correzioni, Apple ha risolto un totale di nove infezioni zero-day, nei suoi prodotti, dall’inizio dell’anno.

A febbraio, la società ha tappato una falla di WebKit che poteva portare all’esecuzione di un codice in modalità remota. Ad aprile, ha rilasciato aggiornamenti per risolvere due bug che consentivano l’esecuzione di codice con privilegi elevati.

Successivamente, a maggio, ha distribuito patch per altre tre vulnerabilità in WebKit,  che potrebbero consentire agli hackcer di sfuggire alla protezione di sandbox, accedere a dati sensibili e eseguire codice arbitrario.

In concomitanza con il rapporto di Kaspersky, il servizio di sicurezza federale  russo (FSB) ha rilasciato un comunicato che accusa le agenzie di intelligence statunitensi di aver violato “diverse migliaia” di dispositivi Apple appartenenti ad abbonati nazionali e diplomatici stranieri, attraverso percorsi finora sconosciuti come parte di una “operazione di ricognizione”.

L’FSB ha anche affermato che gli approfondimenti hanno mostrato una “stretta cooperazione” tra Apple e la National Security Agency (NSA). Non sono stati forniti altri dettagli tecnici. Apple , in una dichiarazione condivisa con The Hacker News, ha affermato di “non aver mai lavorato con nessun governo per inserire una backdoor in nessun prodotto Apple e non lo farà mai”.