El Hackeo a iPhone más SURREALISTA... Triangulation

00:00

vamos a hablar de una campaña donde

00:02

consiguieron atacar vulnerar

00:04

dispositivos de los empleados de

00:06

kasperski Wow vale es bestia eh es muy

00:08

bestia tío que es una campaña primer la

00:11

gente que no está metida en cí que es

00:12

una campaña Camp una campaña Para mí

00:13

sería un evento vale que ocurre entre

00:16

Unas fechas en este caso de

00:17

ciberseguridad vale para una campaña

00:19

sería como un caso no un caso algo que

00:22

ocurrió cas cas primer y más importante

00:24

punto de este topic se atacó a una

00:27

empresa de ciberseguridad es bastante

00:28

heavy bastante heavy quieres atacar a

00:30

alguien a quién te atacas

00:31

a a los polis y se puede imaginar la

00:34

gente complicado no porque se supone que

00:36

las empresas de seguridad tienen sus

00:38

medidas no entonces algún loco o loca

00:41

podría pensar [ __ ] Pues si si se han

00:43

cargado a kasperski se pueden cargar a

00:45

cualquier empresa no Bueno sí No

00:48

deberíamos hacer un análisis

00:51

tan básico no pero te demuestra que todo

00:54

te demuestra que la seguridad 100% no

00:57

existe casp está haciendo su propio

00:59

sistema operativ cy su propio sistema

01:01

operativo para su propio móvil y que es

01:03

como para no no Y para sus dispositivos

01:04

Hardware todo todo con un sistema

01:07

operativo que se supone que es inhab

01:09

bueno in hackeable siempre se puede

01:11

hackear no esto funciona con el concepto

01:13

que me dijiste tú de las máquinas

01:14

virtuales que todo está aislado vale

01:16

debe tener un de rendimiento bastante

01:17

heavy también Sí ahora mismo la batería

01:20

chupa mucho en el móvil o sea está

01:22

complicado pero vamos a ello o sea para

01:24

se va a crear un consorcio entre

01:25

fabricantes de Hardware y y

01:28

desarrolladores para poder hacer

01:29

aplicaciones es para pero ya hay un

01:31

Chrome y hay un Telegram qué Guay ya

01:33

funciona todo eso vale eh vamos a ello

01:36

Entonces esta campaña se descubrió de

01:40

pura casualidad o sea ni siquiera nadie

01:41

se había Enterado y de casualidad se

01:43

descubrió que esto estaba pasando y por

01:44

qué Porque se hizo una cosa que casi

01:48

nadie hace que es monitorizar el tráfico

01:51

de red kasperski tiene una WiFi

01:54

solamente para eh dispositivos móviles

01:56

Okay Vale donde la gente que tenemos

01:58

dispositivo móvil si estás en la oficina

02:00

te conectas a esa WiFi vale separada del

02:03

resto de la de la red Cómo controlas que

02:05

los empleados realmente hagan eso porque

02:07

porque la el acceso por WiFi va por

02:09

certificado vale Okay qué teléfonos eran

02:11

primero que nada iPhone Okay vamos a

02:13

explicar aquí qué necesitaba el atacante

02:16

para poder vulnerar los teléfonos de

02:17

kasperski Apple ID o un número de

02:20

teléfono Qué fuerte tío que solo con el

02:21

[ __ ] número de teléfono puedas atacar a

02:23

un tío claro porqueo Cuál era el vector

02:25

de de infección ha mage esta

02:28

investigación la llevó a cabo anes de mi

02:30

equipo Vale y la la investigación duró 6

02:33

meses chaval se meses para darse cuenta

02:35

y durante todo esemp seis meses para

02:38

saber que había algo y para descubrir

02:40

todo el Chain toda la cadena de

02:42

explotación y en todo ese momento

02:44

durante todo ese tiempo estas personas

02:45

tenían los móviles comprometidos No sé

02:47

exactamente si ya estaban comprometidos

02:49

o estaban salvaguardados pero pero el

02:51

hecho objetivo es que para tú Investigar

02:53

una cadena de ataque tienes que dejar

02:54

que esa c ataque actúe no cómo se

02:57

descubrió Esto vale que esto es

02:58

importante hay una tecnolog

03:00

que te permiten analizar el tráfico de

03:02

red vale lo que se descubrió es que

03:04

había dos dominios dominio por ejemplo

03:07

nate y Sebas y luego.com y y Edgar vale

03:11

por ejemplo y esto siempre se hacía así

03:13

nate y Sebas o Mark y Edgar mar y Edgar

03:17

o y Sebas vale est siempre en parejas

03:20

digamos no siempre en parejas una ruesta

03:22

uno otra ruesta otro y cuando analizaron

03:24

todo esto vieron que estas peticiones

03:27

exclusivamente venían de dispositivos

03:30

para darte cuenta de esto tienes que

03:31

analizar el tráfico y sacar estadísticas

03:33

es un poco paranoico también hacer esto

03:34

no es no es parte de tu de tu cultura

03:37

censal no controlar los dominios destino

03:40

donde se encuentran tus dispositivos o

03:42

sea esto la gente en el día a día accede

03:44

a páginas web Us aplicaciones todo eso

03:45

se conecta a dominios y de vez en cuando

03:48

un administrador de sistemas experto en

03:50

ciberseguridad Pues dice voy a sacar un

03:52

reporte de todos los dominios a los que

03:54

se conectan los móviles de estos

03:55

empleados y de repente dice aquí hay un

03:57

patrón extraño hay un patrón extraño

03:59

cuat dominios y de esos cuatro dominios

04:02

o sea siempre que un móvil se conecta a

04:04

uno de ellos también se conecta al otro

04:06

Eso era un patrón que se repetía

04:07

sian.com los nombres eran sugerentes

04:10

vale si tú lo ves desde una perspectiva

04:12

de alguien con experiencia revisando

04:14

tráfico decías Qué raro aquí viene la

04:17

parte de investigación es decir al ser

04:20

dispositivos iOS tú no puedes hacer una

04:23

imagen del dispositivo una imagen te

04:25

refieres a [ __ ] hacer una adquisición

04:27

forense en el que t imagen bita bit

04:31

total y completa del dispositivo móvil

04:33

[ __ ] todo lo que ha en el

04:34

almacenamiento Y pasarlo a un archivo

04:36

memoria todo o sea eso es imposible no

04:38

se puede hacer eso con Apple Cuál es la

04:40

única alternativa que te queda hacer

04:42

backups de iTunes o sea coges el móvil

04:44

lo enchufas al al Mac o al y haces una

04:47

te vas a iTunes y haces una [ __ ] copia

04:49

de seguridad y esa es la única forma en

04:51

la que expertos mundiales de

04:53

ciberseguridad pueden analizar el [ __ ]

04:55

iPhone tío flipas eh cor otra cosa

04:57

también muy importante es que este este

04:59

operación esta campaña es indetectable

05:02

al uso es decir tú como usuario no

05:06

tienes forma de saber que eso está

05:07

pasando No claro no hay ningún popup no

05:09

te garantiza el teléfono no hay nada O

05:12

sea tú puedes estar infectado como en

05:13

gentiles y no saberlo y no enterarte

05:15

nunca no nunca qué se utilizó para esta

05:18

campaña 40 days 40 days significa que

05:21

hay cuatro vulnerabilidades que existen

05:24

en el Smartphone y nunca nadie sabe que

05:26

existe cl eso es cuánto crees que vale

05:30

un cero day rce o sea ejecución remota

05:34

de código millones millones tiene que

05:36

valer millones de euros depende de quien

05:39

te lo pague No hombre claro depende de

05:40

quien te lo pague eso te lo pague Pero

05:42

si te te lo puede comprar un gobierno

05:44

quizás Incluso te diría no podría

05:46

gobierno de un país de Irán hay hay una

05:50

empresa que se llama zerodium que compra

05:53

normalmente ese tipo de cer un rc para

05:56

iPhone ejecución remota de código tú sin

05:59

hacer sin tocar a ese tío desde internet

06:01

Le puedes hacer lo que quieras no bueno

06:03

ejecutarle código remoto básicamente

06:05

vale un millón no iba a desencaminado no

06:07

de dólares americanos vale si en vez de

06:10

comprártelo zerodium te lo compra Sebas

06:13

que es un cibercriminal cuánto pagaría

06:15

Sebas por ello depende lo que vaya a

06:17

sacar con ello pero pero tú no compras

06:19

un cer day para iPhone para mirar si la

06:21

persona usa Netflix o para el víde no no

06:22

no lo harías para montar una mega

06:25

campaña que vas a recaudar millones y

06:26

millones y millones cuánto puedas pagar

06:28

10 veces más 100 veces más No lo sé

06:31

depende Cuánto dinero si hay una

06:32

organización con suficiente dinero como

06:33

para poder pagarlo y si tienen algo en

06:35

mente como para poder aprovechar ese o

06:37

sea cuando hablamos de los apts Advance

06:39

persistent threat que es lo que ha

06:41

sucedido con esta campaña y hablamos de

06:43

ataques patrocinados por Estados x Un

06:46

gobierno no del pa gobi que ha

06:48

subvencionado esta campaña para hacer

06:51

esto una persona que monta una campaña

06:53

de este tipo para poder tener acceso a

06:55

esos 40 days no los puede descubrir el

06:58

solo tío comprado o tienen los recursos

07:01

económicos y humanos suficientes como

07:04

para descubrir esto O sea significa que

07:05

estás encontrando una vulnerabilidad que

07:07

todo el mundo y Apple y todas las

07:09

empresas que están están buscando y tú

07:11

la encuentras buscando y tú la

07:12

encuentras que tú encuentres cuatro es

07:15

Es casi imposible es imposible apte lo

07:17

que hablamos de cesidad es que se

07:18

quemaron y están parcheadas Claro si tú

07:21

usas esto para un ataque Eso significa

07:22

está quemado ya no cuando te pillen ya

07:24

no lo vas a poder usar nunca más O sea

07:25

te has gastado 10 millones lo que sea de

07:27

millones de de de dólares

07:31

comab y las está exponiendo sea te pen

07:34

eso ya no se puede usar Us y todo esto

07:36

lo hicieron Para entrar en móviles de

07:39

tíos que trabajan en Kaspersky Eso es Es

07:41

una locura no tiene sentido es una

07:42

locura Bueno al final las empresas de

07:44

cía manejamos datos interesantes Noa

07:47

quizás vosotros tenéis un cliente que es

07:48

alguien muy importante y si quieres

07:51

hacer espionaje y sacar información

07:52

sobre ese cliente tan importante vas a

07:54

por sus seguratas no por su empresa que

07:57

l seg objetivo y por ejemplo hay unas

08:00

empresas que se llaman mssp que son

08:02

proveedores de servicio que dan servicio

08:05

a muchos clientes si tú consigues

08:07

vulnerar es mssp vulner de facto a todos

08:11

los demás entonces seguramente haya

08:13

gobiernos empresas muy grandes que pues

08:15

utilizan de esta manera con lo cual

08:17

espiar los móviles de altos cargos de

08:19

vuestra empresa de Kaspersky es algo que

08:22

puede exponer a grandes empresas no

08:24

podría podría llegar a exponerlo está

08:26

claro que el único objetivo de los apt

08:29

es el recabado de inteligencia antes de

08:31

empezar a explicar el flujo quiero

08:33

recalcar algunas cosas vale problemas

08:35

que nos encontramos a la hora de

08:36

analizar esta campaña de PT en los

08:38

dispositivos iPhone que se disponían en

08:40

ese momento no había posibilidad de

08:41

hacer jailbreak porque el jailbreak es

08:43

meter una especie de exploit que lo que

08:45

hace es abrir el iPhone a poder instalar

08:47

aplicaciones que no son oficiales para

08:49

hacer eso el jailbreak utiliza alguna

08:51

vulnerabilidad y Apple qué dijo cuando

08:53

recibió los datos Apple no no habla

08:57

mucho vale No dijo nada dijo Vale

08:58

gracias de de hecho Apple Apple ha

09:01

parcheado cosas en los iPhone sin decir

09:04

nada Es más hay una bidad que se explotó

09:06

en esta campaña que es 100% culpa de

09:10

Apple es el true typ font en el parser

09:12

de la Fuente había una unidad fue por un

09:15

error de un programador Vale entonces

09:18

esa unidad ha estado desde los años 90

09:20

What the fuck disp o sea en el ataque

09:22

que os hicieron de las 4 de is Había una

09:25

que existía desde los 90 eso es Dios o

09:29

sea eso es quemar una carta eso es como

09:30

una Black Lotus tío de no O sea esa esa

09:33

midad de por sí no les hubiera permitido

09:35

probablemente hacer todo ya pero hizo

09:37

parte pero hizo una parte Qué locura Eh

09:39

sí cómo se afronta esta investigación

09:42

Cómo analizas un ataque apt de esta

09:45

magnitud para empezar lo que se hizo fue

09:47

montar un software Open source que se

09:49

llama Meet m Proxy donde tú instalas una

09:53

entidad certificadora una ca en el

09:55

teléfono lo que se hizo fue eh utilizar

09:57

min Proxy para poder anizar el tráfico

09:59

cifrado de los iPhone y además tiene la

10:02

posibilidad que es muy chulo de poder

10:04

hacer modificaciones de los paquetes de

10:06

red on the Fly lo que se hizo fue

10:09

también instalar una VPN entre el

10:11

dispositivo iPhone y un servidor un vps

10:14

utilizando ww Entonces el primer

10:16

objetivo era intentar que ese tráfico

10:18

que iba a esos dominios raros ver qué

10:20

[ __ ] era eso es y para eso montaste

10:22

primero que nada el tema del certificado

10:24

claro engañéis al móvil para que cifre

10:26

el tráfico con un certificado que

10:27

vosotros ya tenéis es y Este certificado

10:29

os permite desencriptar porque como ha

10:32

sido cifrado con vuestro certificado lo

10:34

podéis ver lo podis Entonces ya tenéis

10:36

el tráfico en plano todo visible y

10:39

aparte de eso Vais a través de una VPN

10:41

con wireguard con un servidor vuestro

10:43

eso es un vps para poder controlar el

10:45

canuto de red no el al 100% no 100%

10:48

puedes ver todo no se te escapa nada

10:50

todo lo que habla el móvil con el mundo

10:52

exterior tú lo estás viendo estoy viendo

10:53

plano ad salvo aquellas aplicaciones o

10:55

servicios que utilicen ssl pining Okay

10:58

como es el caso de

11:00

ent no sirvió el tema del certificado Sí

11:02

sí servi para para controlar los Dominos

11:04

de los atacantes porque una vez que está

11:06

infectado el teléfono vale Ya comunica

11:08

no es que comunica todo el rato por

11:09

imessage per es que el ataque llega el

11:11

image llega como vctor de infección o

11:12

sea tú me estás diciendo que te llega un

11:14

[ __ ] imessage al Iphone Y estás

11:15

infectado no no solamente eso sino que

11:18

no te enteras porque esto era no ves el

11:19

mensaje ni siquiera no no esto era cero

11:22

click significa que esto llega te

11:24

infecta y no te enteras no te salta ni

11:27

la notificación nate O sea yo ahora

11:28

mismo estoy aquí un tío dice le voy a

11:31

infectar en el caso que yo tuviese esa

11:33

versión y le dice voy a infectar y de

11:35

repente me manda un message no me sale

11:37

nada en pantalla no me sale ninguna

11:39

notificación ningún mensaje Ya está

11:41

tiene acceso a mi

11:43

cor Dios mío heavy eh es muy bestia tío

11:47

muy bestia Entonces esto es toda la capa

11:50

de red vale esto es el circo que

11:53

montastic para poder ver el tráfico no

11:56

lo que hicimos fue mir había unos logs

11:59

esto lo sacáis de los backups de iTunes

12:01

Okay donde salía una aplicación que se

12:04

llama Im transfer agent que esto es

12:06

legítimo de iPhone eh oa este proceso

12:08

estaba creando entradas en el log eso es

12:11

este es el proceso que se encarga de

12:14

descargar los adjuntos de un imessage de

12:17

imessage vale o sea te mandan una foto

12:19

un archivo lo que sea se lo descarga eso

12:22

luego tenemos otro log dentro del

12:24

aplicativo donde salían modificaciones

12:26

en la carpeta que internamente utiliza

12:30

iPhone para eh guardar los adjuntos que

12:33

tú recibes en el teléfono acciones de

12:35

delete de copy y luego encontramos una

12:37

cosa que fue la más interesante que fue

12:39

encontrar un proceso que se llama backup

12:41

agent esta herramienta Es legítima de

12:44

iOS Okay pero está deprecated o sea está

12:47

ahí la han dejado ahí en el software

12:48

pero es un servicio que está desactivado

12:50

está ahí pero no se usa pero encontramos

12:52

una cosa interesante y es que estaba

12:53

haciendo conexiones a internet

12:55

concretamente a los servidores de

12:57

comando y control de los at antes vale

12:59

eh los servidores de comando y control

13:01

para la gente de casa básicamente son

13:03

los servidores que el atacante tiene

13:04

montados para controlar toda la

13:06

operación no o sea es como un Server que

13:08

él tiene que es supuestamente desde

13:10

dónde lanza esos ataques y desde donde

13:13

controla y recaba información de los

13:14

dispositivos que están afectados es es

13:16

Vamos a entrar en la primera fase de de

13:17

explotación vale Okay Por qué se llama

13:20

operación triangulation tenemos que al

13:23

principio el exploit vale después de que

13:26

esto es exitoso tenemos lo que se llama

13:28

un js validator vale vamos a comprobar

13:32

tu tu mente maligna Si tú fueras un

13:33

atacante y estuvieras en la primera fase

13:35

del ataque hecho el exploit he

13:37

conseguido acceso al móvil de Sebas qué

13:39

es lo que más te importaría que no me

13:41

pillen Exacto vale mantenerte invisible

13:44

lo que hicieron fue utilizar un webgl

13:47

vale webgl es la funcionalidad que

13:49

tienen los browsers o sea dentro del

13:51

motor de javascript es una funcionalidad

13:53

que te permite correr aplicaciones en 3D

13:55

pues lo que hicieron fue dibujar un

13:58

triángulo

14:00

y luego con eso con ese dibujo lo que

14:02

hicieron fue hacer una técnica que se

14:03

llama Pixel hashing hasharon el

14:06

contenido de de esos píxeles ocupados

14:09

vale vale vale vale para saber el modelo

14:11

de cpu y de gpu [ __ ] putao hti [ __ ]

14:16

vale lo que está pasando aquí es voy a

14:19

comprobar si estoy en el entorno donde

14:21

me tengo que ejecutar Quiero saber si si

14:23

es el dispositivo modelo eh marca

14:26

etcétera correcto del móvil que yo

14:27

quiero atacar eso es entonces abro el

14:29

motor web de renderizado de 3D eso es le

14:33

pido que pinte un triángulo que es como

14:34

la figura más simple webgl y en general

14:38

en 3D y según Cómo se pinta de rápido

14:41

Cómo se pinta todo ta el Triángulo lo

14:44

que ocupa la pantalla pantalla etcétera

14:46

puedo saber qué dispositivo es y para

14:49

hacer eso yo previamente en mi casa

14:50

tengo que haber dibujado ese triángulo

14:52

en todos los modelos de iPhone todos los

14:54

modelos de iPhone y ver si hay alguna

14:55

diferencia porque a lo mejor no la

14:56

encontraba la diferencia pero este tío

14:58

encontró que hay diferencia según el

14:59

modelo Claro porque tú si si ahora

15:01

miráramos de manera histórica todos los

15:03

iphones las pantallas es los tamaños han

15:05

ido cambiando calado la velocidad de

15:07

pintar el Triángulo según el modelo que

15:09

tienes si es más potente menos potente

15:11

Sí sí sí Entonces por qué se llama se

15:13

llama operation triangulation no porque

15:14

hace triángulos eso es Qué guapo

15:16

Entonces lo primero que lo primero que

15:17

hace este atacante es vale generar

15:19

exploit y se asegura de que solo corra

15:21

donde va a funcionar claro es decir el

15:22

primer exploit saben que funciona y este

15:24

js valito simplemente estel ifica un

15:26

entorno donde va a mirar si esto se

15:28

puede o no una vez que el js validator

15:31

esta Okay utilizando una librería

15:33

criptográfica que se llama nackel lo que

15:36

hacía era generar una clave temporal que

15:39

utilizando la clave pública del server

15:42

de los atacantes vale generaba una shet

15:45

key que es la que hacía servir para

15:47

descifrar desempaquetar descomprimir un

15:50

adjunto cifrado de mage De dónde sale

15:53

esa clave temporal la genera el js

15:55

valito con la clave con el nackel vale

15:57

esta clave es importante porque temporal

15:59

no puedes obtenerlo buim tí claro

16:01

solamente sirve para ese momento y

16:03

solamente se sirve para descifrar ese

16:05

archivo en ese teléfono de forma única

16:08

pero no no se puede vol utilizar esa

16:09

clave Vale entonces qué maneras se te

16:12

ocurren como programador para conseguir

16:13

descifrar el archivo ad junto Cómo se te

16:15

ocurre con este js validator eh

16:18

conseguir pero teniendo la clave que hay

16:20

aquí no la pues tener puedes ejecutar el

16:23

js valor editor en un en un sandbox no

16:25

imposible porque comprueba solamente que

16:27

esté eh e en el teléfono real no puedes

16:30

montar un entorno que sea que simule

16:32

este móvil y que tú puedas ver cosas

16:34

Eres un buen tío nate eh Cómo cómo se

16:37

cómo lo hicimos que es una locura lo que

16:39

hicimos fue parchear el js

16:44

validator claro lo que hicimos es para

16:46

que se ejecut en cualquier sitio backd

16:49

no no no mucho más Crazy lo que hicimos

16:51

fue definir una constante en el código

16:54

con nuestra clave Qué bueno Tío qué

16:56

bueno claro con nuestra clave lo que

16:58

hacemos Es vale vale vale vale que

16:59

tenemos el control de la clave todo el

17:01

rato vale o sea traduciendo a cristiano

17:04

el malware que venía por Ah message

17:07

original que lo primero que hacía era

17:09

verificar que estábamos en el

17:10

dispositivo que estábamos si estábamos

17:12

no sé qué tal y cual era el Script este

17:15

que es el js validator que luego

17:16

dibujaba el Triángulo pues esto todo

17:17

esto era un programita aú así entonces

17:19

vosotros habéis cogido ese programa y lo

17:20

hemos factorizado o sea este programa

17:22

Por cierto lo habéis analizado eso es

17:25

con algún Sí con una herramienta de

17:27

depuración habéis visto lo que hacía y

17:30

lo habéis le habéis cambiado una línea

17:33

Sí o sea hemos hemos modificado el

17:34

programa Todo esto on the Fly Sí es que

17:37

es muy loco teníamos que esperar a que

17:39

el teléfono se infectara para hacer

17:40

estas modificaciones on the Fly Proxy

17:43

con min Proxy V os claro onfly para

17:46

modificar Esto vale Ya entiendo O sea

17:48

antes hemos dicho que este móvil cuando

17:50

hablaba con internet esto no hablaba ni

17:52

de [ __ ] coña con internet hablaba con un

17:54

vps vuestro un servidor virtual había

17:56

una conexión aquí de VPN de la Host que

17:59

no había forma de que este hable con

18:00

internet si no pasaba por aquí y él aquí

18:02

todos los mensajes que le llegaba los

18:03

podía manipular y les podía cambiar

18:05

cosas Entonces cuando le llegaba el

18:07

mensaje de imessage él decía eh trae

18:10

para acá eso es cogía ese código que

18:12

llegaba ese archivo de imessage le

18:14

cambiaba cosas lo parchea le metía un

18:16

parche y en ese parche lo que metías era

18:18

que la clave privada que te ha dicho

18:20

este tío Esta no es es una nuestra que

18:22

es esta eso es Entonces cuando llega e

18:24

infecta el móvil está ejecutando ese vjs

18:27

validator que dibuja el triangulito hace

18:29

40 [ __ ] y al final tiene esa clave

18:32

privada esa clave privada la has hecho

18:33

tú eso es eso significa que nos permite

18:35

descifrar el contenido del adjunto que

18:37

puedes descifrar cuando luego el

18:38

servidor manda este adjunto va a mandar

18:40

de nuevo por el Proxy no a mandar de

18:43

nuevo por por aquí lo tiene que mandar

18:44

por aquí y como lo tiene que mandar por

18:46

aquí cuando este viene tú también eh

18:49

trae para acá que tengo la clave porque

18:51

la he metido yo es eso es y ahí lo de

18:53

cifras nos permite tener el contenido ad

18:54

junto vale Te parece guapo o no muy

18:56

guapo vamos a explicar la siguiente fase

18:58

debo confesar que desde el primer

19:01

momento no se obtuvo paso uno paso dos

19:03

paso tres sino que analizas paso uno lo

19:06

tengo ya entiendo cómo funciona paso dos

19:08

pero igual desde el principio teníamos

19:10

ya el paso cuatro Lo que pasa que no

19:12

teníamos la cadena entera de explotación

19:14

vale estamos ahora en el tercer Step

19:16

tercer paso o sea ya tenéis el el

19:18

archivo ese final que no sabíais que

19:20

eraa eso es eso es que lo podéis ver

19:23

descifrar para tú explotar algo en en un

19:26

teléfono móvil tú tienes eh puedes hacer

19:29

exportaciones a varios niveles Vale

19:30

entonces si tú quieres hacer una

19:31

exportación en el modo kernel que sería

19:34

como nivel más bajo prácticamente hac a

19:37

todo ha todo básicamente lo que se usó

19:40

fueron dos exploits vale en concreto se

19:43

explotó un Back que era para webkit

19:45

webkit gente sería el motor que utiliza

19:48

Safari bueno los browsers en general

19:50

para renderizar las páginas web o sea te

19:53

llega el código de la página web Y

19:55

webkit de lo que se encarga es de

19:56

convertir ese código de página web en la

19:58

web que tú ves en tu navegador vale Y el

20:00

otro era para Safari Safari es el

20:01

navegador naad pero webkit es un

20:03

componente de Safari también eso es y

20:05

todo esto servía para la cuarta parte de

20:08

esta historia que es el binary validator

20:11

Vale qué hacía este validador de

20:15

binarios este validador de binarios

20:17

hacía ciertas comprobaciones en el

20:19

teléfono vale para empezar tenía

20:23

implementadas todas las técnicas de

20:25

detección de gel brick existentes hasta

20:28

momento lo que quería asegurarse era de

20:31

que no estabas utilizando un dispositivo

20:33

roteado Por qué Porque son conscientes

20:36

de que un dispositivo roteado se podría

20:38

haber sacado en imagen forens del

20:40

teléfono y sacar todo el Chain de

20:42

explotación de triangulation entonces

20:43

para evitarse eso comprueban que que

20:46

haya un no jailbreak no otra cosa que

20:48

también hacía era eliminar todas las

20:51

trazas de image en el teléfono es decir

20:53

están cubriendo sus pasos vale Y esto

20:56

eran las operaciones que veíais en los

20:58

logs de que había borrada cosas borradas

21:00

parte parte eso deitos vale entonces lo

21:02

que hacen es Borrar todas las entradas

21:03

de misas para que nadie en un análisis

21:05

forense posterior vea vea eso esto que

21:08

había del binary validator servía

21:10

también para ejecutar otras cosas dentro

21:13

de dentro del teléfono vale qué hicimos

21:15

seguimos la misma estrategia que con el

21:18

js validator

21:20

factorizamos el binary validator con una

21:23

Rex para conseguir acceso al siguiente

21:26

stage para pedirle al server soy el

21:28

binary validator Dame el siguiente stage

21:31

del server vale o sea todo esto el

21:33

objetivo final de todo esto es ejecutar

21:35

un binario o sea un un programa que no

21:38

está firmado ni permitido por Apple

21:40

saltándose todas las protecciones eso es

21:42

tenemos por un lado el exploit teníamos

21:44

el js validator sí que que se baja el

21:47

nuevo el nuevo luego tenemos los dos

21:49

exploits y luego tenemos el binary

21:50

validator Pero estos dos exploits Qué

21:52

hacen ejecutar el B validator que el ban

21:55

validator es un es un programa es un

21:56

programita hecho por la gente de

21:57

Triangle para para ejecutar este este B

22:01

validator dentro del sistema Claro

22:02

porque una pregunta entiendo que el

22:04

problema es que cómo puede ejecutarse

22:06

esto y no esto entiendo que este se

22:09

puede ejecutar porque es javascript Y

22:11

esto no esto exacto y Porque tú

22:13

necesitas hacer unas comprobaciones

22:14

previas antes de bajar eh el bator que

22:17

es como una O sea es algo como

22:20

importante de tu Chain de ataque Sabes

22:21

porque lo que te ha explicado el primer

22:23

exploit te sirve como puerta de entrada

22:25

para ejecutar un un un javascript que

22:27

hace ciertas cosas en el móvil o sea tú

22:29

no podrías pasarle directamente por ahí

22:31

message este no hay ningún exploit que

22:33

automáticamente te dé permiso a todo

22:35

tienes que hacer una consecución de

22:36

cadena de exploits para hacer ciertas

22:38

operaciones en el móvil vale endido De

22:40

hecho esto que no hemos explicado era un

22:42

PDF un [ __ ] PDF con true type font de

22:46

los malditos Apple el C de que existía

22:49

desde los 90 vale vale vale o sea

22:51

básicamente yo esty mandaban un PDF por

22:53

ahí message que se había que cuando se

22:55

render no no cuando lo

22:57

renderiza solo lo renderiza es cuando se

23:00

se hace el exploit qué [ __ ] locura sí tú

23:02

utilizas a misage Yo sí contigo solo

23:05

contigo y con Edgar son soy las únicas

23:06

dos personas con las que hablo por ahí

23:07

mess no me mandéis pdfs Eh no sabrás

23:10

porque es cero

23:12

clic cómo puede ser cero click porque

23:14

hace algún prender o algo de [ __ ] [ __ ]

23:17

claro y no lo puedes eso no lo puedes

23:19

cambiar vale fangle db es lo que

23:21

llamamos el implante final vale el el

23:23

endgame de esto de esta campaña vale tú

23:26

consideras que cuando pones el móvil en

23:29

modo avión Estás seguro A ver cuando tú

23:31

pones el móvil en modo avión

23:33

supuestamente sí no el móvil no hace

23:35

nada la WiFi y la conexión a la red

23:39

móvil debería estar totalmente apagada

23:41

pues triangel deb tenía un workaround

23:45

para por ejemplo entre otras cosas

23:47

grabar el micrófono Wow durante horas

23:53

horas y cuando tu teléfono recuperaba la

23:57

conexión internet mandar la grabación

24:00

automáticamente automáticamente al

24:02

servidor de comando y control Qué locura

24:06

tío qué tenía se tenía acceso al

24:08

micrófono a todo a todo tooa era a todo

24:11

el del teléfono claro estás con un

24:13

exploit tienes acceso a todo Dios mío

24:15

podías ubica micr grabar elel grabar el

24:18

teléfono posición GPS donde estabas pero

24:21

no solamente eso sino también los nervy

24:24

Locations las posiciones cercanas de

24:26

otras estaciones GPS eh de dispositivos

24:29

cercanos Vale qué más podía hacer podía

24:32

también sacar todas las bases de datos

24:34

sql Elite de todos las aplicaciones de

24:37

todas las aplicaciones en especial de

24:40

que dos tenían extractores custom de

24:43

WhatsApp y de Telegram es bastante heavy

24:46

esto eh tío es muy bestia eh tienes

24:48

acceso full a todo y a la cámara también

24:51

todo o sea me estás diciendo que me

24:53

llega una message no me entero y ven mi

24:55

cámara mi WhatsApp mi me graba y tengo

24:57

tus fotos vestido dinosaurio tío y y me

24:59

graban las conversaciones durante horas

25:01

aunque tenga el aunque tenga el móvil en

25:03

modo avión no no sea claro Sí sí yo

25:06

puedo dejar una tarea programada que te

25:07

diga empieza a grabar empieza a grabar y

25:10

cuando en algún momento quites el modo

25:11

avión y se conectes pum mando la

25:13

grabación fuera y lo peor de todo es que

25:15

no hay forma de saberlo porque como está

25:16

totalmente encapsulado el iPhone y no

25:18

puedes acceder absolutamente a

25:20

nada Esto está pasando sin que tú tengas

25:23

ninguna forma de saberlo no te has

25:24

quedado loco eh supuestamente durante

25:26

tiempo esta gente estuvo pudiendo

25:28

WhatsApp fosas graes Telegram

25:31

grabaciones de micro posiciones GPS me

25:34

parece una locura que esto sea posible

25:35

entiendo perfectamente que sea posible y

25:37

tiene todo el sentido del mundo al final

25:39

cuando hay un bg en una aplicación y te

25:41

puedes saltar unos permisos es normal

25:43

que puedas hacer esto lo que pasa que la

25:45

mente que tiene que tener ese equipo

25:47

para poder llegar a diseñar toda este

25:49

esquema de de explotación Me parece muy

25:52

bestia no es solamente la mente detrás

25:54

de todo esto que es al es un equipo de

25:57

gente mu muy inteligente sino también

26:00

los que han analizado esto mis compis

26:02

para desentraar todo esto se meses eh se

26:05

meses investigando todo entendiendo todo

26:07

y además permitiendo que se infecten y

26:09

además no solo eso sino que tienes que

26:10

permitir que se infecten sin hacer

26:12

ninguna [ __ ] para que no te pillen

26:13

exactamente porque igual se pueden dar

26:14

cuenta de que estás Va actualizando el

26:16

js validator para obtener binarios

26:17

nuevos va actualizando el js validator

26:20

para obtener el siguiente stage sí que

26:22

pueden detectar que apagué y encendé

26:23

mucho los móviles de repente en plan Por

26:24

qué están apagando y encendiendo el

26:25

móvil todo el rato y volviendose a

26:26

infectar todo el rato

26:28

t crees que realmente los que crean los

26:30

aplicativos y los que operan la campaña

26:32

es la misma persona no lo sé pero Quizás

26:34

sí que pensaría O sea sí que vería un

26:36

patrón raro de repente de repente ha

26:38

pasado algo y esta gente reinicia mucho

26:40

uno de los teléfonos Pues están

26:42

investigando se este teléfono Hay que

26:44

reinfectar cada 3 horas por o cada 10

26:47

minutos eso sería un poco sospechoso

26:48

sería sospechoso eso también lo habis

26:50

tenido en cuenta imagino No claro el

26:51

gato y el ratón Entonces esto es la

26:53

operación de Triangle de la finalidad

26:55

del ataque cu era el recabado de

26:57

información

26:58

en este caso los obos Escuchar escuchar

27:01

las conversaciones ver los WhatsApp los

27:03

Telegram de personas clave de un jefe de

27:05

un departamento de gaspers no sé qué tal

27:07

yigal personas específicas que les

27:10

estaban escuchando y espiando con el

27:12

móvil porque el móvil es un dispositivo

27:13

volvemos al inicio del directo el móvil

27:15

es un [ __ ] dispositivo de espionaje que

27:17

si te lo controlan te lo tienen acceso

27:19

total a tu a tu móvil al final que al

27:22

final lo que pasa es eso no que pueden

27:25

saber todo de ti nosotros al final de

27:26

esta investigación lo que hicimos fue no

27:29

solamente liberar la herramienta para

27:31

que todo el mundo lo mirara no solamente

27:33

eso sino también admitir de forma

27:34

pública que esto que esto había pasado y

27:36

hicimos es lo mejor al final no decir

27:38

públicamente mir s Pero esto no lo hace

27:40

nadie vale Y luego además eh hicimos una

27:42

publicación contando los detalles de

27:44

esta operación por eso yo puedo venir

27:45

aquí hoy y contarla Pero además

27:47

habilitamos una dirección de correo

27:48

electrónico para que cualquier persona o

27:50

organización eh grupo de actividad lo

27:53

que sea se hubiera infectado con

27:54

triangulation que también no compartiera

27:56

con nosotros y nos han llegado correos

27:58

sí sí no te puedo evidentemente decir

28:01

quién es Pero hay más gente que ha sido

28:03

eh No mucha gente importante entidades

28:06

importantes entidades importantes que

28:08

también les habían pasado también les

28:09

había pasado eso que encontraron trazas

28:11

de triangulation pues vaya mala suerte

28:13

han tenido esta gente de ir a por

28:14

vosotros No pues sí pero claro Esto me

28:16

lleva a pensar y me lleva a la reflexión

28:19

de que ahora mismo podría haber otro

28:22

sistema como este que esté funcionando

28:25

No lo dudes que esto volverá O podría

28:26

estar funcionando mis

28:29

ahora mismo mi iPhone Podría tener un

28:30

sistema como este y todo lo que estoy

28:32

haciendo o incluso esta conversación

28:33

podría estar siendo grabada y escuchada

28:35

por correcto correcto y yo no tendría

28:36

ninguna conciencia de Jordi White podría

28:38

estar escuchando esta conversación ahora

28:39

mismo Sí claro Jordi

28:42

White por eso invita tantos hackers está

28:44

aprendiendo está aprendiendo está

28:46

aprendiendo no fuera bromas pero pero

28:48

qué es eso esto podría pasar bastante

28:50

heavy tío la verdad que me ha dejado muy

28:52

loco eh está chulo triangulation está

28:53

muy chulo si alguien le interesa de

28:55

verdad yo os digo revisar las

28:57

publicaciones los CVS entrar al detalle

29:00

de los exploits y ánimo con el

29:02

entendimiento de ellos porque estamos ya

29:04

en un terreno muy muy complejo supiste

29:06

Quién habida ha sido buena pregunta no

29:08

no se supo nunca no no no hay forma de

29:10

saber un servidor de comando y control

29:12

no siempre puede saber de quién es no

29:14

estaban registrados en nch y protegidos

29:16

por

29:17

el el anonimato que te proporciona cotf

29:20

una hay una cadena de de de vpns antes

29:23

de llegar aor o lo que sea antes de

29:25

llegar a ese servidor no es correcto si

29:27

entráis a una reunión apagad el móvil no

29:30

mala idea eh Y apagar el móvil todos los

29:32

días esto Esto está bien eh También

29:34

reiniciar el móvil cada día Yo yo os

29:36

digo que lo reinicié más de lo que lo

29:37

hacéis ahora pero claro si estás en un

29:40

si estás en una lista te van a volver a

29:41

infectar pero el implante no tan activo

29:44

o sea tien que volver a infectarte tien

29:46

que darse cuenta no sé qué O sea y luego

29:49

otra cosa que tiene iPhone también es la

29:51

activación del lockdown Mode Sí eso lo

29:54

he visto lo he visto si crees que estás

29:56

haciendo lock casí lo activo eh el

29:58

lockdown mod sí Ah ya por lo esta cosa

30:01

tan rara el lockdown Mode te vale Para

30:03

eso tienen una estimación del daño que

30:06

les causaron con el ataque o simplemente

30:08

saben que los espiaron cuantificado lo

30:10

tenemos obviamente porque se libró la

30:12

herramienta y se pudo se pudo comprobar

30:14

no daré esos números pero pero sí que sí

30:17

que atacaron a pues empleados de la

30:19

compañía sí documentación la dejaremos

30:21

en el el el el caso lo dejaré en en la

30:24

descripción de YouTube vale el vídeo de

30:26

YouTube dejaré la la bueno todo el

30:28

artículo no es público O sea que en

30:30

securis.com

30:32

triangulation de hecho estamos

30:34

investigando el próximo triangulation en

30:36

Android a ver si si ocurre no Qué pasa

30:40

esta pregunta es interesante es decir

30:42

que iOS es muy vulnerable claro es que

30:44

esto no significa eso o sea esto puede

30:46

pasar perfectamente en Android es que

30:48

perfectamente Claro sí habéis estado un

30:50

poco dese Principio o sea se encadenaron

30:52

hasta 40 days para hacer esto es decir

30:54

habamos algo ultra mega complejo en uno

30:57

de losos operativos más seguras del

30:58

mundo claro estamos hablando de que

31:00

Google y Apple son dos empresas que

31:03

tienen desarrollo de software tienen

31:05

equipos muy grandes de desarrollo de

31:07

software en el caso de Apple es una de

31:08

las empresas tecnológicas más grandes

31:09

del planeta entero iOS es el sistema

31:12

operativo más usado del mundo si no me

31:13

equivoco de no sé si el del mundo pero

31:15

por lo menos en en países como est pero

31:17

los más seguros del mundo seguro pero es

31:19

uno de los más usados en el mundo bueno

31:22

de en smartphones Por lo cual es un

31:24

sistema operativo que no solo la propia

31:26

Apple tiene equipos enteros que están

31:28

investigando constantemente si hay bgs

31:31

si hay vulnerabilidades si hay este tipo

31:33

de cosas sino que hay empresas de

31:34

terceros que también lo están haciendo

31:35

conente no Por lo cual es muy difícil

31:38

realmente que haya una vulnerabilidad y

31:40

nadie se dé cuenta bueno pasa cada x

31:42

tiempo claro un al año dos al año a lo

31:45

mejor no quizás y de hecho nosotros

31:47

escogimos cuatro Sí ese día esos seis

31:50

meses de golpe se descubrieron cuo la

31:53

gente no no se acordará pero hubo como

31:55

una especie como de autorización forzada

31:56

en iOS que fue por esto O sea de repente

31:59

te actualizaban ahí era como una Minor

32:01

como una Minor ofd que parchea este

32:03

fallo y lo mismo puede pasar en Google

32:05

Google es una empresa de software tiene

32:07

Android Android está Ultra testeado por

32:09

la propia Google y por un montón de

32:11

empresas que no son que no son Google no

32:13

las probabilidades de que haya un c0d en

32:15

Android o en iOS deben ser muy parecidas

32:17

No lo sé lo que sí que sé es que lo que

32:21

dificulta todo esto es la capa de

32:22

explotación esta cadena de flujo de

32:25

ataque como Cómo la combinas y los

32:27

elementos intermedios que utilizas para

32:29

hacer esto pero no hay un factor que

32:30

haga que un sistema operativo sea más

32:32

propenso a tener bgs o cero days

32:34

respecto a otro Sí y aquí lo voy a decir

32:36

en abierto aquellos sistemas que tienen

32:38

una filosofía open source open source

32:42

están mucho más de escrutinio que una

32:46

gente que se llama Apple que ha decidido

32:49

cerrar crear ese enclave seguro que

32:50

entiendo los motivos detrás de ello pero

32:52

que no permite el escrutinio por parte

32:55

de la comunidad esto es muy interesante

32:56

también tío es eso es un tema que

32:58

siempre se habló entre Microsoft y y

33:00

Linux Microsoft versus Linux y de hecho

33:03

una de las cosas de Linux que siempre se

33:06

le ha reconocido es que que es muy

33:09

seguro y pasa mucho con los proyectos

33:10

Open source como lo era en su momento yo

33:12

que sé jumla wordpress etcétera tod

33:14

todas estas aplicaciones que como la

33:16

comunidad puede leer el código ayudan a

33:18

mantenerla segura No y a descubrir

33:19

vulnerabilidades cosa que si tienes un

33:22

sistema completamente cerrado si hay

33:24

algún problema se lo tienes que mandar a

33:26

la empresa y la empresa es la única en

33:27

el mundo responsable y capaz de entender

33:29

que está pasando ahí lo que pasa en

33:30

Windows Microsoft es la única capaz de

33:33

descubrir una vulnerabilidad en en

33:35

Windows no Tú la puedes descubrir pero

33:37

se la tienes que mandar a ellos para que

33:38

ellos entiendan que está pasando y

33:40

parchen el código mientras que en un

33:42

proyecto Open source todo el mundo tiene

33:43

ojos que puede ver no lo que está

33:45

pasando por lo cual en el caso en este

33:47

caso Android sería menos propenso a

33:49

tener cero days o tener vulnerabil

33:51

digamos que en el caso de que haya

33:53

incidentes se puede se podría revisar

33:56

con más facilidad que no hacer est

33:58

ya de War más certificado no sé qué Bla

34:00

Blu B también otra cosa interesante es

34:02

que mientras que Apple es ella y solo

34:04

ella en el caso de Android Yo entiendo

34:07

que

34:07

Samsung xiaomi y todas estas empresas

34:10

harán sus propias auditorías también

34:11

clar imagino espero espero intentarán

34:14

encontrar vulnerabilidades también o sea

34:15

hay más ojos no en Android muchísimos

34:16

más ojos en Android mirando todo lo que

34:18

pasa que en Apple luego también desde

34:20

aquí obviamente felicitar a tanto a

34:22

igosa como a Boris larin como a George

34:24

kerin y como a

34:28

también que fueron los que organizaron

34:29

todo este esta campaña y que

34:31

compartieron y que fue brutal cuando lo

34:34

leímos qué Guay tío en una buena esta

34:36

gente tengo una suerte está rollado de

34:37

gente muy inteligente muy top tío Estás

34:39

ahí tú en verdad estás ahí en la élite

34:41

tío eres parte de la élite parte de si

34:44

estoy allí imagino que sí no yo que sé