Operación Triangulación

Operación Triangulación (en inglés, Operation Triangulation) es un ciberataque dirigido contra dispositivos iOS que se ejecuta mediante una cadena de cuatro ataques de día cero. Fue identificado por primera vez en junio de 2023 y se distingue por su complejidad técnica sin precedentes entre los ataques a iOS. Se estima que afectó a miles de víctimas.

Objetivos del ataque

El objetivo de este ataque era espiar: extraer mensajes y contraseñas de los dispositivos, grabar conversaciones y obtener datos de geolocalización. La cantidad exacta de víctimas es incierta debido al alto nivel de sigilo de los atacantes, pero algunas fuentes estiman que se trata de varios miles, entre los cuales se encuentran organizaciones comerciales, gubernamentales y diplomáticas de Rusia y sus representantes en el extranjero.[1]

Cronología de los eventos

1 de junio de 2023: Kaspersky anuncia el descubrimiento de rastros de un nuevo tipo de malware en algunos dispositivos iOS de sus empleados. Este sigiloso malware, diseñado con fines de espionaje, solo se pudo detectar por intercambios de datos sospechosos con los iPhones infectados. Los investigadores detectaron rastros de infecciones que datan de 2019. El ataque se denominó Operation Triangulation.[2][3][4]​ Por la misma fecha, Kaspersky lanzó una herramienta llamada triangle_check que permite a los usuarios verificar si sus dispositivos iOS han sido comprometidos y determinar si han sido víctimas del ataque.[5]

21 de junio de 2023: Kaspersky publica una investigación sobre el implante TriangleDB, utilizado en el ataque.[6][7]

Ese mismo día, Apple lanza actualizaciones para iOS 15.x y 16.x que corrigen dos vulnerabilidades explotadas en el ataque: CVE-2023-32434 en el núcleo de iOS y CVE-2023-32435 en el motor de navegación WebKit. Estas vulnerabilidades permitían infectar dispositivos iPhone de manera silenciosa, eludiendo los sistemas de seguridad de iOS.

24 de julio de 2023: Apple publica actualizaciones para iOS 15.x y 16.x que solucionan la vulnerabilidad CVE-2023-38606 en el núcleo de iOS y CVE-2023-41990 en el mecanismo de procesamiento de fuentes FontParser. Estas vulnerabilidades también formaban parte de la cadena de infección de Operation Triangulation.[8][9]

23 de octubre de 2023: Kaspersky publica información acerca de las múltiples etapas de validación que utilizan los atacantes para seleccionar a sus víctimas. Estos filtros permiten infectar solo a objetivos específicos y, de ese modo, evitar ser detectados por expertos en ciberseguridad.[10]

26 de octubre de 2023: Kaspersky presenta un informe en la Security Analyst Summit sobre el proceso de investigación de Operation Triangulation y los esfuerzos por identificar todos los componentes de la cadena de infección.[11][12]

27 de diciembre de 2023: Kaspersky presenta un informe en el Chaos Communication Congress sobre la cadena de ataque completa y las cuatro vulnerabilidades utilizadas en el ataque, incluidas las funciones no documentadas de los procesadores de Apple.[13]

28 de diciembre de 2023: El reconocido hacker Hector Martin se entera de que Operation Triangulation utilizó funciones no documentadas de los procesadores de Apple y difunde información sobre posibles mecanismos y propósitos.[14]

Detalles técnicos

Operation Triangulation es un ataque contra iOS de extrema complejidad técnica y sin precedentes entre los de su tipo: la cadena de infección consta de 14 pasos, utiliza cuatro ataques de día cero y explota funciones de hardware no documentadas de los procesadores de Apple. Todos los ataques que trascendieron infectaron versiones de iOS hasta 15.7.x, pero las técnicas son efectivas hasta iOS 16.2.[15]

El código malicioso se ejecuta cuando un iPhone recibe un iMessage especialmente diseñado e invisible para el usuario. Luego, se descargan componentes adicionales desde los servidores de mando de Operation Triangulation que otorgan privilegios en el dispositivo infectado y despliegan un software espía con amplio acceso a su contenido y funciones.

Mecanismo de infección

La infección inicial se lleva a cabo mediante el iMessage invisible. El archivo malicioso del iMessage, adjunto como un .watchface (un diseño de pantalla de reloj, que es básicamente un archivo ZIP con un PDF incrustado), ejecuta un código que abre Safari en segundo plano para que se carguen los próximos componentes de la cadena de infección desde un sitio web.

Este sitio contiene un script de validación que analiza los parámetros del teléfono infectado y decide si la infección debe continuar mediante el uso de la tecnología de Canvas fingerprinting, que dibuja un triángulo en la página web para identificar de manera única a las víctimas. Este triángulo es el que da nombre a toda la campaña.

El ataque utiliza las vulnerabilidades de día cero CVE-2023-41990, CVE-2023-32434 y CVE-2023-38606.

Luego de una validación, el script de la página web también utiliza la vulnerabilidad CVE-2023-32435, carga un código binario en la memoria del dispositivo, obtiene privilegios de superusuario y realiza una verificación más detallada del smartphone para evaluar si es de interés para los atacantes. Este validador binario también elimina rastros del iMessage recibido y, finalmente, carga TriangleDB, el implante malicioso principal.

El malware solo opera en la memoria del dispositivo, por lo que se borra tras un reinicio. Sin embargo, los atacantes pueden reenviar el iMessage e infectar nuevamente a la víctima.

Funciones no documentadas de Apple

Para evadir las protecciones de memoria en las generaciones recientes de procesadores Apple (A12–A16), el exploit de la vulnerabilidad del núcleo CVE-2023-38606 usa funciones de hardware no documentadas.

Es decir, este exploit escribe en registros MMIO que no están descritos en la documentación y no son utilizados por aplicaciones ni el sistema operativo iOS. Como resultado, el código del exploit puede modificar áreas protegidas del núcleo de iOS. Los investigadores de Kaspersky sugieren que este mecanismo probablemente fue creado para la depuración del propio procesador.[16]

Algunos expertos sostienen que "muy pocos, o nadie, excepto Apple y proveedores de chips como ARM Holdings", podrían saber sobre esta función. Hector Martin describió un posible mecanismo de explotación basado en escrituras directas en la caché de memoria, lo que a veces permite evadir determinados mecanismos de protección.[17][18]

Funciones del implante TriangleDB

El malware TriangleDB tiene una estructura modular que le permite extender sus funciones mediante la descarga de módulos adicionales desde el servidor.

La versión básica del malware permite subir archivos del dispositivo al servidor de los atacantes, extraer datos del llavero de iOS, rastrear la geolocalización de la víctima, y modificar archivos y procesos en el dispositivo.

Algunos módulos adicionales sobre los que se tiene conocimiento permiten acceder al micrófono por tiempo prolongado (aunque el móvil esté en modo avión), ejecutar consultas en bases de datos almacenadas en el dispositivo y robar chats WhatsApp y Telegram.

Métodos de detección y eliminación

Bloqueo de actualizaciones

Un indicador de que un dispositivo ha sido blanco de Operation Triangulation es la imposibilidad de descargar actualizaciones de iOS. Sin embargo, algunos dispositivos infectados han podido actualizarse con normalidad.

Análisis de la copia de seguridad de iTunes

Algunos rastros del ataque se pueden encontrar en los archivos del sistema del iPhone. Dado que no es posible acceder a estos archivos desde el propio dispositivo, se recomienda hacer una copia de seguridad del iPhone en iTunes y luego analizarla con la herramienta triangle_check.[19][20]

Análisis de conexiones de red

El código malicioso de Operation Triangulation establece conexiones con los servidores de los atacantes, y se ha publicado un listado de las direcciones utilizadas que todos pueden consultar.

Eliminación de la infección

Para dispositivos que ya han sido comprometidos, los expertos recomiendan seguir los siguientes pasos para evitar la reinfección: restablecer valores de fábrica, desactivar iMessage, actualizar iOS a una versión más reciente.[4]

Autoría

Kaspersky no ha emitido declaraciones oficiales sobre el origen del ataque ni lo ha atribuido a ningún grupo o país.

Sin embargo, el 1 de junio de 2023, el Servicio Federal de Seguridad de Rusia (FSB) emitió un comunicado sobre el descubrimiento de malware en teléfonos Apple, indicando que explotaba "vulnerabilidades proporcionadas por el fabricante". El FSB acusó directamente a Apple de colaborar con la NSA y afirmó que varios miles de teléfonos fueron infectados, incluyendo dispositivos fuera de Rusia en países de la OTAN, el espacio postsoviético, Israel, Siria y China.

Ese mismo día, Apple emitió un comunicado para negar las acusaciones.[21]

Cabe destacar que el FSB y Kaspersky hicieron declaraciones por separado, pero algunos expertos coinciden en que ambos hacen clara referencia a Operation Triangulation.

Consecuencias

Apple negó públicamente cualquier tipo de vinculación con agencias de inteligencia para implantar puertas traseras y lanzó varias actualizaciones para corregir las vulnerabilidades aprovechadas por Operation Triangulation.

Entre julio y agosto de 2023, varias organizaciones gubernamentales y comerciales de Rusia prohibieron el uso de dispositivos Apple para fines oficiales, entre ellas el Ministerio de Desarrollo Digital, el Ministerio de Industria y Comercio, el Ministerio de Transporte, el Servicio Federal de Impuestos, y el servicio de Ferrocarriles de Rusia. Un tiempo más adelante, el Banco Central y el Ministerio de Situaciones de Emergencia de Rusia adoptaron la misma medida.[22][23][24]

En la misma línea, en septiembre de 2023, el gobierno chino expandió la prohibición del uso de iPhones para empleados de empresas estatales.[25]

Por su parte, en 2024, el Ministerio de Defensa de Corea del Sur anunció la prohibición de móviles iPhone por motivos de seguridad, sin afectar el uso de móviles con Android.[26]

Repercusión y opinión pública

El código utilizado por Operation Triangulation ha sido calificado como el más complejo de la historia.

Lo qué más llama la atención del ataque es que quienes lo perpetraron conocían las funciones no documentadas de los chips de Apple y que utilizaron cuatro vulnerabilidades de día cero en un mismo ataque.[13]

Entre las opiniones que más trascendieron, destacan la del criptógrafo Bruce Schneier, quien describió el ataque como "absurdamente sofisticado" y un "asunto de nivel estatal", y la de Elon Musk, quien mostró interés por la complejidad del ataque y las posibles maneras de defenderse.[27][28][29]

Referencias

  1. «'Operation Triangulation': Kaspersky da los detalles de la campaña que vulnera dispositivos de Apple». 
  2. Press, Europa (26 de octubre de 2023). «Kaspersky señala que la campaña maliciosa Operation Triangulation aprovechó cinco fallas en dispositivos iOS». www.europapress.es. Consultado el 14 de febrero de 2025. 
  3. Pastor, Javier (28 de diciembre de 2023). «Los iPhone llevan años hackeados con 'Triangulación'. Según los expertos, es el ciberataque "más sofisticado de la historia"». Xataka. Consultado el 14 de febrero de 2025. 
  4. a b «Operation Triangulation: iOS devices targeted with previously unknown malware». securelist.com (en inglés estadounidense). 1 de junio de 2023. Consultado el 14 de febrero de 2025. 
  5. «Kaspersky libera Triangle_Check». 
  6. News, The Hacker. «New Report Exposes Operation Triangulation's Spyware Implant Targeting iOS Devices». The Hacker News (en inglés). Consultado el 14 de febrero de 2025. 
  7. «TriangleDB, el programa espía que causa estragos en los iPhone». Todo Noticias. 30 de octubre de 2023. Consultado el 14 de febrero de 2025. 
  8. «Acerca del contenido de seguridad de iOS 15.7.8 y iPadOS 15.7.8 - Soporte técnico de Apple (ES)». Apple Support. Consultado el 14 de febrero de 2025. 
  9. «Acerca del contenido de seguridad de iOS 16.6 y iPadOS 16.6 - Soporte técnico de Apple (ES)». Apple Support. Consultado el 14 de febrero de 2025. 
  10. «Especialistas de la empesa revelan nuevos detalles de Operation Triangulation, la cual ganó notoriedad por infectar dispositivos iOS.». /. 1 de noviembre de 2023. Consultado el 14 de febrero de 2025. 
  11. Group, IT Digital Media (27 de octubre de 2023). «El ataque a dispositivos iOS Operation Triangulation se aprovechó de 5 vulnerabilidades | Actualidad». IT Digital Security. Consultado el 14 de febrero de 2025. 
  12. Kaspersky Tech (25 de enero de 2024), Operation Triangulation: Сonnecting the Dots | Igor Kuznetsov, consultado el 14 de febrero de 2025 .
  13. a b Cherre, Ilan (28 de diciembre de 2023). «Los iPhone llevan años siendo víctimas del "ciberataque más sofisticado de la historia"». Andro4all. Consultado el 14 de febrero de 2025. 
  14. «Hector Martin: "So some fun stuff was just presented at 37C3, and…" - Treehouse Mastodon». web.archive.org. 6 de enero de 2024. Consultado el 14 de febrero de 2025. 
  15. «Vulnerabilidades en Dispositivos Apple descubiertas en la Operación Triangulación – Telconet CSIRT». csirt.telconet.net. Consultado el 14 de febrero de 2025. 
  16. «iPhone Triangulation attack abused undocumented hardware feature». BleepingComputer (en inglés estadounidense). Consultado el 14 de febrero de 2025. 
  17. Goodin, Dan (27 de diciembre de 2023). «4-year campaign backdoored iPhones using possibly the most advanced exploit ever». Ars Technica (en inglés estadounidense). Consultado el 14 de febrero de 2025. 
  18. TOTAL, CIBERSEGURIDAD (16 de febrero de 2024). «Protegerse de lo imposible: CVE-2023-38606». Ciberseguridad. Consultado el 14 de febrero de 2025. 
  19. «New tool scans iPhones for 'Triangulation' malware infection». BleepingComputer (en inglés estadounidense). Consultado el 14 de febrero de 2025. 
  20. SUMMA, Revista (30 de junio de 2023). «¿Qué hay detrás del software que se apodera de su iPhone?». Revista Summa. Consultado el 14 de febrero de 2025. 
  21. «Apple se niega a pagar a Kaspersky una recompensa por encontrar errores». Escudo Digital. 7 de junio de 2024. Consultado el 14 de febrero de 2025. 
  22. «Rusia obligará a sus funcionarios a deshacerse de sus iPhone por temor al espionaje de EEUU». El Español. 17 de julio de 2023. Consultado el 14 de febrero de 2025. 
  23. González, Fernanda (17 de julio de 2023). «Rusia prohibe a sus funcionarios usar dispositivos Apple». WIRED. Consultado el 14 de febrero de 2025. 
  24. «Ministerio ruso prohíbe que sus empleados utilicen iphones en el trabajo: ifax». LA NACION. 11 de agosto de 2023. Consultado el 14 de febrero de 2025. 
  25. Reuters, G. Calvo (7 de septiembre de 2023). «China prohíbe los iPhone a sus funcionarios y provoca una fuerte caída de Apple en Bolsa». El País. Consultado el 14 de febrero de 2025. 
  26. «Apple — no, Samsung sí. Corea del Sur prohibirá el iPhone a los militares por motivos de seguridad». ITC.ua. 23 de abril de 2024. Consultado el 14 de febrero de 2025. 
  27. Schneier, Bruce (4 de enero de 2024). «New iPhone Exploit Uses Four Zero-Days». Schneier on Security (en inglés estadounidense). Consultado el 14 de febrero de 2025. 
  28. Infobae, Por Newsroom (28 de diciembre de 2023). «El troyano Triangulation aprovechó una vulnerabilidad no documentada en los chips de dispositivos iOS». infobae. Consultado el 14 de febrero de 2025. 
  29. Olinga, Luc (2 de junio de 2023). «Elon Musk Flags Sophisticated Attack Against Apple's iPhones». TheStreet (en inglés estadounidense). Consultado el 14 de febrero de 2025. 
Este artículo ha sido escrito por Wikipedia. El texto está disponible bajo la licencia Creative Commons Attribution-Share Alike 4.0. Pueden aplicarse cláusulas adicionales a los archivos multimedia.