Nel corso di quattro anni di analisi approfondita, i ricercatori di Kaspersky hanno svelato i dettagli di “Operation Triangulation”, una sofisticata catena di attacchi informatici mirata principalmente ai telefoni di funzionari russi di missioni diplomatiche e di ambasciate in Russia, nonché ai dipendenti di Kaspersky a Mosca. L’attacco, considerato il più complesso mai osservato su iPhone, ha sfruttato una serie di vulnerabilità, sia hardware che software.
La complessità di “Operation Triangulation” è emersa nel suo sfruttamento di una catena di quattro vulnerabilità su dispositivi iOS, come appunto gli iPhone, che ha permesso agli attaccanti di installare un malware avanzato. Ciò richiedeva una conoscenza approfondita di caratteristiche hardware limitate a pochi, inclusi Apple e ARM.
I dettagli della scoperta dell’attacco agli iPhone
Kaspersky, pur presentando una completa analisi durante il 37° Chaos Communication Congress ad Amburgo, non è stato in grado di spiegare come le informazioni sulle caratteristiche hardware siano finite nelle mani degli attaccanti. Queste informazioni erano fondamentali per bypassare le protezioni avanzate della memoria iPhone. I ricercatori di Kaspersky hanno individuato “Operation Triangulation” nel 2019, quando hanno notato attività sospette provenienti da telefoni basati su iOS attraverso il monitoraggio del traffico di rete della rete Wi-Fi dedicata ai dispositivi mobili dell’azienda.
Successive indagini hanno rivelato infezioni trasmesse attraverso iMessage, sfruttando una catena complessa di quattro vulnerabilità, tutte corrette da Apple a partire da iOS 16.2. La catena di attacchi ha sfruttato una funzione hardware segreta presente non solo sugli iPhone ma anche su altri dispositivi Apple come Apple TV, iPad, Mac, Apple Watch e iPod. Questa vulnerabilità hardware ha consentito agli attaccanti di aggirare le avanzate protezioni della memoria, facilitando l’installazione di uno spyware completo capace di raccogliere dati sensibili. Anche dopo l’analisi approfondita, Kaspersky non può attribuire definitivamente l’attacco a un attore noto. Le caratteristiche uniche osservate non corrispondono agli schemi noti di altri attacchi, lasciando aperte molte incertezze sulla provenienza e sugli obiettivi ultimi di “Operation Triangulation”.