Chama-se Triangulation e deixou a empresa russa de cibersegurança Kaspersky do avesso. Os primeiros pormenores sobre este novo software espião foram divulgados em junho, mas só nos últimos dias de dezembro é que foram revelados mais detalhes sobre esta enigmática, mas altamente sofisticada campanha de spyware.
“Já descobrimos e reportámos mais de 30 vulnerabilidades desconhecidas [zero-days] em produtos de empresas como a Adobe, Apple, Google e Microsoft, mas esta é a cadeia de ataque mais sofisticada que já vimos”, começa por sublinhar Boris Larin, investigador de segurança na tecnológica russa, na publicação na qual descreve em maior detalhe como atua o Triangulation.
Foi a própria equipa de monitorização e análise de plataformas da Kaspersky (KUMA) que descobriu este novo spyware, depois de terem sido detetadas “anomalias” na rede interna oriundas de dispositivos da Apple, o que levou a uma investigação mais aprofundada por parte da equipa global de análise e investigação (GReAT) da tecnológica russa.
O Triangulation tira partido de quatro vulnerabilidades de segurança, encadeadas entre si [uma tipologia de ataque conhecida como attack chain], para conseguir infetar o smartphone da vítima, ganhando acesso total ao equipamento.
O atacante começa por enviar uma mensagem através do serviço iMessage com um ficheiro malicioso em anexo. O anexo tira partido de uma falha, ao nível das instruções da tipologia de letra da Apple, para abrir e executar o ficheiro malicioso e sem que exista qualquer sinal nesse sentido. Ou seja, o equipamento recebe uma mensagem, abre o anexo dessa mensagem, mas o utilizador nunca interage com o smartphone e nem sequer vê qualquer indicação visual destes acontecimentos.
A partir daqui existe uma escalada na forma como o software malicioso se propaga pelo smartphone, tirando partido de três outras vulnerabilidades, incluindo uma que consegue ultrapassar um mecanismo de segurança próprio implementado pela Apple para tornar os iPhone mais seguros (chamada de proteção baseada em hardware). Na prática, este sistema limita aquilo que o software consegue aceder, caso seja comprometido, limitando as capacidades dos atacantes e do software malicioso.
É aqui que tudo se torna mais relevante. Segundo a descrição técnica apresentada pela Kaspersky, o atacante (ou atacantes, ainda não é certo) por trás do Triangulation usou uma funcionalidade codificada no iPhone, mas que não é usado pelo sistema operativo.
“O nosso palpite é que esta funcionalidade desconhecida de hardware foi muito provavelmente criada para ser usada como ferramenta de depuração ou para efeitos de testagem pelos engenheiros da Apple ou na fábrica [de produção do chip], ou foi incluída por engano”, analisa o especialista em segurança informática da Kaspersky. Em resumo, é algo que está no iPhone, mas não é sequer usado pelo próprio iPhone e, por isso, muito poucas pessoas deveriam saber que está lá. “Não temos ideia de como os atacantes saberiam como usá-la”, sublinha Boris Larin.
As quatro falhas identificadas pelos investigadores da Kaspersky já foram, entretanto, todas corrigidas pela Apple. Ainda não é conhecido o número total de utilizadores afetados por este software espião, com exceção das dezenas de funcionários da Kaspersky que viram os seus equipamentos afetados e, segundo a publicação ArsTechcnica, de milhares de funcionários de missões diplomáticas e embaixadas da Rússia que também foram afetados pelo Triangulation.
Além de toda a sofisticação técnica que o ataque requer para explorar quatro vulnerabilidades diferentes naquele que é tido como o sistema operativo mais robusto ao nível da segurança, também foram aplicadas técnicas de ocultação para que o Triangulation deixasse o menor rasto possível nos equipamentos infetados. Por exemplo, depois da execução bem sucedida do código a partir da mensagem ‘invisível’ recebida no iMessage e da escalada de privilégios no equipamento, a primeira função que o spyware executa é justamente um comando que ajuda a eliminar artefactos do ataque e abre o Safari, no modo invisível, para prosseguir com o ataque.
Apesar das novas revelações, o Triangulation é um caso que promete continuar a dar que falar, como deixa antever o investigador da Kaspersky. “Esta não é uma vulnerabilidade qualquer e nós ainda temos muitas perguntas sem resposta”.
