Hace un par de semanas, nuestras tecnologías detectaron un nuevo ataque APT contra iPhone que formaba parte de una campaña dirigida, entre otros, a los empleados de Kaspersky. Para implementar el ataque, un grupo de atacantes desconocido utilizaba una vulnerabilidad en el kernel de iOS para implantar un software espía denominado TriangleDB en la memoria del dispositivo. A continuación, te contamos todos los hallazgos de nuestros expertos que han podido estudiar este implante a fondo.
¿Qué puede hacer el implante TriangleDB?
El estudio de este implante no ha sido una tarea sencilla, dado que funciona exclusivamente en la memoria del teléfono, sin dejar ni un solo rastro en el sistema. Es decir, al reiniciar se borran por completo todo los signos de ataque y el malware cuenta con un temporizador de autodestrucción que se activa automáticamente 30 días después de la infección inicial; siempre que el operador haya decidido no enviar ningún tipo de comando que amplíe el tiempo de ejecución. La funcionalidad básica del implante incluye las siguientes características:
- la manipulación de archivos (creación, modificación, eliminación y exfiltración);
- la manipulación de los procesos en ejecución (hacerse con la lista y finalizarlos);
- la exfiltración de elementos del llavero de iOS, que pueden contener certificados, identidades digitales y/o credenciales para varios servicios;
- la transmisión de datos de geolocalización, entre las que se incluyen las coordenadas, altitud y velocidad y la dirección del movimiento.
Además, el implante puede cargar módulos adicionales en la memoria del teléfono y ejecutarlos. Si estás interesado en conocer toda la información técnica del implante, puedes visitar esta publicación del blog Securelist dirigida a expertos en ciberseguridad.
Los ataques APT contra dispositivos móviles
En general, el objetivo principal de los ataques APT en los últimos tiempos han sido los ordenadores personales tradicionales. No obstante, los dispositivos móviles actuales se pueden equiparar a los PC de oficina en términos de rendimiento y funcionalidad. Se utilizan para interactuar con información comercial crítica, almacenar secretos personales y comerciales y pueden servir como claves de acceso a servicios corporativos. Por ello, los grupos de APT se esfuerzan cada vez más por diseñar ataques contra los sistemas operativos móviles.
Por supuesto, Triangulation no es el primer ataque dirigido contra los dispositivos iOS. Seguramente todos recordaréis el famoso caso del spyware comercial Pegasus, por desgracia todavía en activo. Aunque también hay otros ejemplos como Insomnia, Predator o Reign. Además, no es de extrañar que los grupos de APT hayan despertado su interés también por el sistema operativo Android. De hecho, no hace mucho saltó la noticia sobre el ataque del grupo de APT “Transparent Tribe” que usaba la puerta trasera CapraRAT contra los usuarios indios y paquistaníes de este sistema. Por otro lado, en el tercer trimestre del año pasado, descubrimos un spyware hasta entonces desconocido que se dirigía a los usuarios de habla persa.
Todo esto sugiere que, para proteger a una empresa de los ataques APT en estos días, es necesario garantizar la seguridad no solo de los sistemas fijos (servidores y estaciones de trabajo), sino también de los dispositivos móviles utilizados en el proceso de trabajo.
Cómo mejorar tu protección contra los ataques APT en móviles
No sería correcto dar por hecho que la protección predeterminada que ofrecen los fabricantes es suficiente para proteger tus dispositivos móviles. El caso de Operation Triangulation muestra claramente que ni siquiera las tecnologías de Apple son perfectas. Por tanto, recomendamos a las empresas que implementen siempre un sistema de protección de múltiples capas con las herramientas adecuadas para el control del dispositivo móvil, además de los sistemas que puedan monitorizar sus interacciones en la red.
La primera línea de defensa debe ser una solución del tipo MDM. Nuestro Endpoint Security for Mobile proporciona una gestión centralizada de la seguridad de los dispositivos móviles a través de Kaspersky Security Center, nuestra consola de gestión. Además, nuestra solución brinda protección contra el phishing, las amenazas web y el malware. Eso sí, solo está disponible para Android dado que, lamentablemente, Apple no admite soluciones antivirus de terceros.
En concreto, utiliza la tecnología Cloud ML para Android para detectar el malware relacionado con este sistema operativo. Esta tecnología, que funciona en la nube de KSN, se basa en métodos de aprendizaje automático cuyo modelo, entrenado con millones de muestras conocidas de malware para Android, detecta incluso malware previamente desconocido con alta precisión.
Sin embargo, los actores de amenazas utilizan cada vez más plataformas móviles en sus ataques dirigidos sofisticados. Por tanto, tiene sentido utilizar un sistema que pueda monitorizar la actividad de la red, ya sea la información sobre seguridad y gestión de eventos (SIEM) o alguna otra herramienta que pueda ayudar a tus expertos a gestionar incidentes de ciberseguridad complejos con una detección y respuesta extendidas inigualables, como nuestra Kaspersky Anti Targeted Attack Platform.
Fueron nuestros expertos quienes descubrieron la Operation Triangulation mencionada anteriormente mientras monitorizaban una red wifi corporativa usando nuestro propio sistema SIEM Kaspersky Unified Monitoring and Analysis Platform (KUMA). Además, nuestras soluciones de Threat Intelligence pueden proporcionar a los expertos y sistemas de seguridad información actualizada sobre nuevas amenazas, así como sobre las técnicas, tácticas y procedimientos de los atacantes.