TriangleDB: Apple ha rilasciato iOS 15.7, iOS 16.5.1 e iPadOS 16.5.1. Le nuove versioni dei sistemi operativi includono le patch per due vulnerabilità zero-day sfruttate dallo spyware Triangulation che, secondo il Federal Security Service (FSB) della Russia, è stato usato dalla NSA per spiare cittadini russi e diplomatici di altri paesi. Gli esperti di Kaspersky hanno pubblicato un report dettagliato sul malware.
Patch per due vulnerabilità zero-day TriangleDB
La vulnerabilità CVE-2023-32434, presente nel kernel di iOS e iPadOS, può essere sfruttata da un’app per eseguire codice arbitrario con privilegi kernel. La vulnerabilità CVE-2023-32435, presente in WebKit, permette di eseguire codice sul dispositivo quando l’utente visita una pagina web infetta.
La campagna di spionaggio è stata denominata Operation Triangulation da Kasperksy. La collaborazione tra Apple e la software house russa per lo sviluppo delle patch confermerebbe l’accusa del Cremlino. Lo spyware sfrutta le vulnerabilità di iOS e iPadOS per raccogliere varie informazioni (tra cui la posizione geografica), dopo aver infettato il dispositivo tramite iMessage. L’exploit è zero-click, quindi non serve l’interazione dell’utente.
I ricercatori di Kaspersky hanno ricostruito la catena di infezione e analizzato il codice dello spyware denominato TriangleDB. Quest’ultimo viene eseguito in memoria (con privilegi root), quindi viene rimosso con il riavvio del dispositivo. È pertanto necessario inviare un nuovo messaggio con l’allegato infetto. Se non viene effettuato il riavvio, il malware si auto-elimina dopo 30 giorni.
TriangleDB comunica con il server C2 (command and control) per ricevere la configurazione e inviare i dati. Lo spyware riceve 24 comandi per le sue attività: creazione, modifica, esfiltrazione e cancellazione di file, ricerca e terminazione dei processi, furto delle credenziali, monitoraggio della posizione geografica e caricamento di altri moduli. Kaspersky pubblicherà altri dettagli nei prossimi giorni.