Kaspersky rivela approfondimenti su Operation Triangulation

In occasione del recente Security Analyst Summit, il Global Research and Analysis Team (GReAT) di Kaspersky svela i risultati delle sue analisi sulla nota Operation Triangulation. Il team ha presentato nuovi dettagli sulle vulnerabilità e sugli exploit di iOS alla base di questo attacco, fornendo un’analisi della campagna che ha preso di mira sia il grande pubblico che i dipendenti di Kaspersky.

All’inizio di questa estate, Kaspersky ha scoperto una campagna di Advanced Persistent Threat (APT) rivolta ai dispositivi iOS. Denominata ‘Operation Triangulation’, questa campagna sfrutta un metodo sofisticato per distribuire exploit zero-click attraverso iMessage, assumendo il controllo completo del dispositivo e dei dati dell’utente. Il GReAT di Kaspersky ha ritenuto che l’obiettivo principale potesse essere sorvegliare di nascosto gli utenti, con ripercussioni anche sui dipendenti Kaspersky. A causa della complessità dell’attacco e della chiusura dell’ecosistema iOS, una task force dedicata e trasversale ha impiegato una notevole quantità di tempo e risorse per condurre un’analisi tecnica dettagliata.

Durante il Security Analyst Summit, gli esperti dell’azienda hanno rivelato dettagli inediti della catena di attacco che ha sfruttato cinque vulnerabilità, quattro delle quali erano zero-day sconosciute e corrette dopo essere state segnalata ad Apple dai ricercatori Kaspersky. 

I ricercatori Kaspersky hanno identificato un primo punto di accesso attraverso una falla della libreria di elaborazione dei font. La seconda, una vulnerabilità estremamente potente e facilmente sfruttabile nel codice di mappatura della memoria, ha consentito l’accesso alla memoria fisica del dispositivo. Inoltre, gli aggressori hanno sfruttato altre due vulnerabilità per aggirare le funzionalità di sicurezza hardware dell’ultimo processore Apple. I ricercatori hanno anche scoperto che, oltre alla capacità di infettare da remoto i dispositivi Apple tramite iMessage senza l’interazione dell’utente, gli aggressori disponevano anche di una piattaforma per effettuare attacchi tramite il browser web Safari. Ciò ha portato alla scoperta e alla correzione di una quinta vulnerabilità.

Il team Apple ha rilasciato ufficialmente gli aggiornamenti di sicurezza, che risolvono quattro vulnerabilità zero-day scoperte dai ricercatori di Kaspersky (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990). Queste vulnerabilità hanno colpito diversi prodotti Apple, tra cui iPhone, iPod, iPad, dispositivi MacOS, Apple TV e Apple Watch.

“Le funzioni di sicurezza basate sull’hardware dei dispositivi dotati dei nuovi chip Apple ne rafforzano notevolmente la resistenza agli attacchi informatici, ma non ne sono immuni. Operation Triangulation ci ricorda di fare attenzione quando si gestiscono allegati di iMessage provenienti da fonti sconosciute. Le strategie impiegate in Operation Triangulation possono rappresentare una preziosa guida. Inoltre, trovare un equilibrio tra la chiusura del sistema e l’accessibilità può contribuire a migliorare la sicurezza”, ha dichiarato Boris Larin, Principal Security Researcher del GReAT di Kaspersky.

Sebbene tra le vittime di Kaspersky vi siano dirigenti e manager dell’azienda, nonché i ricercatori che operani in Russia, Europa e META, l’azienda non è stata l’unico obiettivo dell’attacco.

Oltre alla pubblicazione del report e allo sviluppo di un’utility specializzata in triangle_check, gli esperti del GReAT hanno creato un indirizzo e-mail per consentire a chiunque fosse interessato di contribuire all’indagine. Di conseguenza, i ricercatori dell’azienda hanno ricevuto conferma di casi in cui le persone sono state vittime di Operation Triangulation e hanno fornito loro le indicazioni per migliorare la sicurezza.

“Proteggere i sistemi da attacchi informatici avanzati non è un compito facile, ed è ancora più complicato con sistemi chiusi come iOS. Ecco perché è così importante implementare misure di sicurezza a più livelli per rilevare e prevenire tali attacchi”, ha commentato Igor Kuznetsov, Director di Kaspersky’s Global Research and Analysis Team.

Per ulteriori informazioni su Operation Triangulation, è possibile visitare Securelist.com.

Prossimamente, Kaspersky presenterà ulteriori dettagli tecnici, fornendo descrizioni dettagliate delle sue analisi sul sito web.

Per proteggersi da queste minacce, i ricercatori di Kaspersky consigliano di implementare le seguenti misure:

  • Aggiornare regolarmente il sistema operativo, le applicazioni e il software antivirus per eliminare le vulnerabilità note.
  • Prestare attenzione alle e-mail, ai messaggi o alle chiamate che contengono informazioni sensibili. È importante verificare sempre l’identità del mittente prima di condividere dati personali o di cliccare su link sospetti. 
  • Fornire al proprio team SOC l’accesso alle informazioni più recenti sulle minacce (TI). Il Kaspersky Threat Intelligence Portal è un unico punto di accesso per le informazioni sulle minacce dell’azienda, che fornisce dati e approfondimenti sui cyberattacchi raccolti da Kaspersky in oltre 20 anni.
  • Aggiornare il proprio team si cybersicurezza per affrontare le ultime minacce mirate con la formazione online di Kaspersky sviluppata dagli esperti del GReAT.

Per il rilevamento a livello di endpoint, l’indagine e la risoluzione tempestiva degli incidenti, implementare soluzioni EDR come Kaspersky Endpoint Detection and Response