La historia de cuando hackearon a uno de los más grandes

Kaspersky víctima de un APT (Advanced Persistan Threat), una campaña de malware sofisticado persistente en el tiempo. Este caso, conocido como “Operación Triangulo”, muestra que incluso los más grandes de la ciberseguridad son vulnerables.

“descubrieron que los infectaron” 

Todo comenzó a principios de 2023, cuando los analistas de Kaspersky notaron algo extraño en los iPhones de algunos de sus empleados. A través de un monitoreo rutinario de su red Wi-FI, detectaron patrones sospechosos de tráfico de red en dispositivos corporativos de Apple que no encajaban con el uso esperado.

Varios de estos se conectaban a dominios destino que no eran comunes, encontrando un patrón extraño. A medida que profundizaban en el análisis, comenzaron a descubrir indicios de un software malicioso en algunos iPhone. Lo sorprendente es que estos dispositivos no mostraban signos de infección, como aplicaciones extrañas o funcionamiento anómalo.

Para desentrañar el misterio, Kaspersky puso en marcha una investigación exhaustiva, formando un equipo de ciberinvestigación especializado en vulnerabilidades en dispositivos móviles.

“no fue una tontería”

Estamos en frente ni mas ni menos que de un ataque de cuatro “Zero-Day”, cuatro vulnerabilidades de día cero en dispositivos Apple. Un “Zero-Day” es una vulnerabilidad que nunca ha sido explotada antes o que no ha sido descubierta aún, por ende, no ha sido parcheada.

Este tipo de vulnerabilidad en el mercado negro puede costar millones de euros y más siendo una RCE, “Remote Code Execution”, que su traducción es, ejecución remota de comandos, una vulnerabilidad que puede ejecutar código en el dispositivo destino, es decir controlarlo por completo sin ser descubierto. El “exploit” inicial permitía sin intervención del usuario, tomar control del dispositivo y acceder a datos sensibles.

Ni siquiera hacía falta abrir un enlace o descargar un archivo adjunto: el solo hecho de recibir un mensaje de iMessage activaba el “exploit”, esto se llama “0-click”.

“Apple y su privacidad”

Como ya se sabe, Apple no pone nada fácil el modificar o escanear sus dispositivos gracias a su cifrado, así que tuvieron que hacerlo de formas bastante elaboradas, como por ejemplo, al no poder hacer una copia del propio dispositivo bit a bit para ver lo que estaba ocurriendo, tuvieron que hacer “backups” de estos y analizarlos con un software llamado “Mitmproxy”, donde se instala una entidad certificadora para poder analizar el trafico cifrado de los iPhone en texto plano y así descubrir los paquetes que se envían a los dominios de los atacantes.

En los dispositivos encontraron logs de conexión de un proceso llamado “Backupagent”, un proceso nativo pero obsoleto de iPhone, que generaba conexión con los servidores de comando y control de los atacantes.

“el ataque más sofisticado que he visto”

Los atacantes infectaban los dispositivos usando un script llamado “Jsvalidator”, realmente era un pdf, que usaba “WebGL” una API de renderizado en navegadores, para generar un triángulo, y hacer “Pixelhashing”, obteniendo un “hash” de los pixeles ocupados de este triangulo para conocer así la CPU y GPU del dispositivo y averiguar el modelo en el que estaban. Esto previamente desde “casa del atacante” tuvieron que hacer el mismo proceso en todos los modelos de iPhone posibles para, según los pixeles del triángulo generado en cada uno, crear una base de datos que relacionara cada hash de cada triangulo con cada modelo. De aquí viene el nombre de operación de triangulo.

Es decir, dibujando un triángulo en segundo plano, podían conocer que modelo de dispositivo era infectado.

“la respuesta estuvo a la altura”

Una vez desde Kaspersky sabían esto, esperaban a que el teléfono se infectara, y con el programa “Mitmproxy”, “on the fly”, es decir en el transcurso de las conexiones, con un servidor VPS en medio de estas conexiones, modificaban el script malicioso, para después una vez realizado el proceso, este mismo servidor recibiera el archivo adjunto de vuelta, y así poder analizarlo y conocer que contenido se estaba extrayendo.

 

Podían extraer de todo de dentro del dispositivo, grabar el teléfono, grabar audio, localizarlo, incluso descargar las bases de datos “SQL LITE” de todas las APPS, …

La operación duró seis meses, seis meses para descubrir la infección y conocer el propósito. Esta fue reportada a Apple, que parchearon efectivamente las vulnerabilidades explotadas. Kaspersky reporto lo ocurrido, sin poder reconocer la identidad de los atacantes por el anonimato que ofrece “Cloudflare”, la plataforma de VPNs que utilizaron para los ataques para evitar ser descubiertos.

“nunca estamos del todo protegidos”

La historia del hackeo a Kaspersky es una lección sobre la naturaleza cambiante de la ciberseguridad y la necesidad de prepararse para lo inesperado. En un mundo donde las vulnerabilidades zero-day y los ataques dirigidos son cada vez más comunes, cada organización, sin importar su tamaño o experiencia en seguridad, debe adoptar un enfoque de seguridad proactivo. Al final, este ataque demostró que, en el campo de la ciberseguridad, nadie está totalmente seguro, ni incluso las empresas más preparadas.

Comparte este contenido:

Deja un comentario

LIVE WEBINAR | 1/2/2024

Cómo proteger tu Active Directory de ataques Ransomware con Tenable

Servicio de avisos

Recibe las alertas más importantes