Un gruppo di ricercatori esperti informatici ha completato la ‘missione’ volta alla ricerca di vulnerabilità complesse negli iphone. Si chiamava ‘operation triangulation’ la campagna di spyware diretta principalmente ai telefoni di funzionari russi di missioni diplomatiche e di ambasciate in Russia, e a quelli degli stessi dipendenti di Kaspersky che ha sede a Mosca.



Come riporta Dday.it i ricercatori si sono imbattuti per la prima volta in Triangulation nel 2019, durante il monitoraggio del traffico di rete della rete Wi-Fi di Kaspersky dedicata ai dispositivi mobili, notando un’attività sospetta proveniente da diversi telefoni basati su iOS. Le indagini successive hanno portato alla scoperta di infezioni che installavano il malware attraverso una complessa catena di quattro vulnerabilità senza richiedere al destinatario di intraprendere alcuna azione. Le quattro vulnerabilità sono state già corrette da Apple a partire da iOS 16.2. Nell’ultima analisi presentata, Kaspersky ha dato più informazioni sulla funzione hardware segreta che permetteva il “flusso” della catena di attacchi e che risiedeva anche su Mac, iPad, Apple Watch, Apple TV e iPod. I dispositivi erano quindi infettati da uno spyware completo in grado di trasmettere foto, registrazioni dal microfono, posizione e altri dati sensibili ai server degli aggressori. Questa vulnerabilità hardware consentiva di aggirare le protezioni avanzate della memoria.



OPERATION TRIANGULATION: COME INFETTAVA GLI IPHONE

La software house russa ha descritto in dettaglio la catena di infezione  svelando che uno degli exploit permetteva di aggirare una protezione hardware (non documentata) presente nei chip degli iPhone. La complessa catena di infezione iniziava infatti con l’invio di un allegato iMessage e portava all’installazione di uno spyware senza nessuna interazione dell’utente, aggirando le protezioni dei registri. Apple ha probabilmente incluso la funzionalità hardware negli iPhone per errore oppure è stata lasciata per assistere gli ingegneri durante le fasi di debug e test. Non è noto però come i cybercriminali hanno scoperto i registri nascosti. Kaspersky sottolinea che l’approccio “security by obscurity” è sbagliato perché impedisce ai ricercatori di trovare le vulnerabilità prima dei cybercriminali.



Al momento, Kaspersky non può attribuire in modo definitivo l’attacco Triangulation a nessun attore noto, perché le caratteristiche uniche osservate non si allineano con gli schemi delle strategie di attacco conosciute e già impiegate da altri soggetti.