La filosofía cerrada del ecosistema de Apple suele hacer que quienes intentan detectar y aprovechar vulnerabilidades lo tengan más difícil —pero ni mucho menos imposible— que en otras plataformas, pero esta semana se ha desvelado uno de los ciberataques más llamativos de los últimos años, y las víctimas han sido los iPhone.
Kaspersky, víctima del ciberataque. Como indican en Ars Technica, un grupo de expertos en ciberseguridad han descubierto un ataque muy sofisticado dirigido a iPhones que lleva activo cuatro años. El ataque ya dio que hablar en junio de 2023, y ahora se ha revelado que ha infectado dispositivos pertenecientes a empleados de la empresa de ciberseguridad Kaspersky, con sede en Moscú, y a miles de personas más, incluidas aquellas en misiones diplomáticas y embajadas en Rusia.
Triangulación. Los atacantes lograron un nivel de acceso sin precedentes aprovechando una característica de hardware desconocida hasta ahora que parece dejar claro que quienes descubrieron el problema disponían de recursos y conocimientos técnicos avanzados. El "megaexploit" final, conocido como "Triangulación", aprovecha una compleja cadena de exploits enviados a través de mensajes de texto de iMessage, con infecciones que los ciberatacantes reactivavan con nuevos mensajes si se detectaban reinicios del dispositivo.
Cuatro vulnerabilidades críticas. Los atacantes aprovecharon cuatro vulnerabilidades críticas de día cero: CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 y CVE-2023-41990, que afectan a iPhones, Macs, iPods, iPads, Apple TVs y Apple Watches. Estos ciberataques permitían a los atacantes eludir las protecciones avanzadas de memoria basadas en hardware, un avance significativo para derrotar las medidas de seguridad de Apple.
Spyware difícil de detectar. Esta cadena de exploits llamada Triangulation incluye varias vulnerabilidades 'zero-day', incluyendo las que afectan a la tipografía TrueType de Apple, el kernel de iOS, o el navegador Safari. Los métodos utilizados permitían lograr acceso de administrador ('root') al sistema para luego instalar spyware. Una vez infectados, los dispositivos transmitían grabaciones de voz, fotos, geolocalización y otros datos sensibles a los servidores controlados por los atacantes.
Problema parcheado, pero no atajado del todo. Los expertos de Kaspersky publicaron el miércoles un informe con las conclusiones de su investigación, y explicaron que aunque Apple ha parcheado dichas vulnerabilidades, detectar si un dispositivo está o no infectado sigue siendo difícil. Estos ciberataques parecen haber afectado a misiones diplomáticas y embajadas. Identificar su procedencia y sus responsables también es complejo porque las características del ciberataque se desvían de los patrones conocidos.
Un ciberataque (tristemente) prodigioso. Para Boris Larin (@oct0xor), investigador de Kaspersky, destacaba en un correo a Ars Technica lo excepcional del ciberataque. Sobre todo por cómo se ha logrado ejecutar en un ecosistema tan cerrado como el de Apple. "Hemos descubierto y reportado más de treinta zero-days en productos Adobe/Apple/Google/Microsoft", señalaba, "pero esta es definitivamente la cadena de ataque más sofisticada que hemos visto".
Imagen | Charlesdeluvio
Ver 13 comentarios