E a agência de inteligência e segurança da Rússia disse que os EUA hackearam milhares de iPhones em ataques de clique zero no iOS.
A empresa russa de segurança cibernética Kaspersky diz que alguns iPhones em sua rede foram hackeados usando uma vulnerabilidade do iOS que instalou malware por meio de explorações de clique zero do iMessage.
Rússia disse que os EUA hackearam milhares de iPhones
A entrega da mensagem explora uma vulnerabilidade que leva à execução do código sem exigir nenhuma interação do usuário, levando ao download de malware adicional do servidor do invasor.
Posteriormente, a mensagem e o anexo são apagados do dispositivo. Ao mesmo tempo, a carga útil fica para trás, executando com privilégios de root para coletar informações do sistema e do usuário e executar comandos enviados pelos invasores.
A Kaspersky diz que a campanha começou em 2019 e relata que os ataques ainda estão em andamento. A empresa de segurança cibernética batizou a campanha de “Operação Triangulação” e está convidando qualquer pessoa que saiba mais sobre ela para compartilhar informações.
Como é impossível analisar o iOS a partir do dispositivo, a Kaspersky usou o Mobile Verification Toolkit para criar backups do sistema de arquivos dos iPhones infectados para recuperar informações sobre o processo de ataque e a função do malware.
Embora o malware tente excluir rastros do ataque dos dispositivos, ele ainda deixa sinais de infecção, como modificações no arquivo do sistema que impedem a instalação de atualizações do iOS, uso anormal de dados e injeção de bibliotecas obsoletas.
A análise revelou que os primeiros sinais de infecção aconteceram em 2019, e a versão mais recente do iOS infectada pelo conjunto de ferramentas malicioso é a 15.7.
Observe que a versão mais recente do iOS é a 16.5, que pode já ter corrigido a vulnerabilidade usada nesses ataques de malware.
A exploração enviada via iMessage aciona uma vulnerabilidade desconhecida no iOS para executar a execução do código, buscando estágios subsequentes do servidor do invasor, incluindo explorações de escalonamento de privilégios.
A empresa de segurança forneceu uma lista de 15 domínios associados a essa atividade maliciosa, que os administradores de segurança podem usar para verificar os registros DNS históricos em busca de possíveis sinais de exploração em seus dispositivos.
Após a escalação de privilégio de root, o malware baixa um conjunto de ferramentas completo que executa comandos para coletar informações do sistema e do usuário e baixar módulos adicionais do C2.
A Kaspersky observa que o conjunto de ferramentas APT instalado no dispositivo não possui mecanismos de persistência, portanto, uma reinicialização o interromperia efetivamente.
No momento, apenas alguns detalhes sobre as funções do malware foram divulgados, pois a análise da carga final ainda está em andamento.
Rússia acusa NSA de ataques
Em uma declaração coincidente com o relatório da Kaspersky, a agência de inteligência e segurança FSB da Rússia afirma que a Apple forneceu deliberadamente à NSA um backdoor que pode ser usado para infectar iPhones no país com spyware.
A FSB alega ter descoberto infecções por malware em milhares de iPhones da Apple pertencentes a funcionários do governo russo e funcionários das embaixadas de Israel, China e vários países membros da OTAN na Rússia.
Apesar da gravidade das alegações, o FSB não forneceu nenhuma prova de suas alegações.
O estado russo recomendou anteriormente que todos os funcionários e membros da administração presidencial parassem de usar os iPhones da Apple e, se possível, desistissem totalmente da tecnologia americana.
A Kaspersky confirmou ao BleepingComputer que o ataque afetou sua sede em Moscou e funcionários em outros países.
Ainda assim, a empresa afirmou que não tem condições de verificar uma ligação entre sua descoberta e o relatório da FSB, pois não tem os detalhes técnicos da investigação do governo.
No entanto, o CERT da Rússia divulgou um alerta ligando a declaração do FSB ao relatório da Kaspersky.