El Hackeo a iPhone más SURREALISTA... Triangulation
Summary
TLDREl guion habla sobre la campaña 'Triangulation', donde se describió cómo atacaron dispositivos de empleados de Kaspersky, una empresa de seguridad cibernética. Se discute cómo se descubrió el ataque al monitorizar el tráfico de red y se analizaron patrones extraños de dominios. El ataque involucró vulnerabilidades 'zero-day' en iPhones, lo que permitió a los atacantes espionar a objetivos específicos sin su conocimiento. Se exploraron técnicas avanzadas de explotación y secciones de la cadena de explotación, incluyendo el uso de exploits para webkit y Safari, y cómo se ejecutó un binario no autorizado por Apple. La discusión también incluyó la posibilidad de que ataques similares puedan estar sucediendo en dispositivos Android y la importancia de la seguridad cibernética en el contexto de sistemas operativos cerrados versus open source.
Takeaways
- 😲 Se habló de una campaña de espionaje que afectó a empleados de Kaspersky, destacando la complejidad del ataque contra una empresa de ciberseguridad.
- 🛡️ La campaña fue descubierta por casualidad a través del monitoreo del tráfico de red, un procedimiento poco común que permitió detectar una actividad sospechosa.
- 📲 El ataque se centró en dispositivos móviles iOS, específicamente iPhones, lo que indica un alto nivel de sofisticación por parte de los atacantes.
- 🔍 El proceso de investigación llevó 6 meses y reveló una cadena de explotación compleja que comprometió los móviles de los empleados durante ese periodo.
- 👁️ La técnica de 'Pixel Hashing' fue utilizada para identificar el modelo de CPU y GPU del dispositivo móvil, una táctica para asegurarse de que el ataque se ejecutara en el entorno correcto.
- 🔒 El ataque incluía 'Zero Days', o vulnerabilidades desconocidas para el software afectado, lo que subraya la naturaleza avanzada y costosa de la operación.
- 💡 Se mencionó la posibilidad de que el ataque pudiera haber sido patrocinado por un gobierno, dado el costo y la sofisticación del esfuerzo requerido para ejecutarlo.
- 🌐 El malware estaba diseñado para ser indetectable para el usuario, lo que implica que las acciones de espionaje podrían haber continuado sin ser descubiertas.
- 📡 El ataque incluía capacidades para funcionar incluso cuando el dispositivo estaba en modo avión, a través de la grabación de audio y otros datos que se enviarían una vez que el dispositivo recuperaba la conexión.
- 🔑 El 'Operation Triangulation' permitía al atacante un acceso total a la información del dispositivo, incluyendo WhatsApp, Telegram, la cámara, y las grabaciones de audio y video.
- 🔍 Se estableció una dirección de correo electrónico para que otros afectados por 'Triangulation' pudieran compartir información anónimamente, lo que sugiere que el alcance del ataque podría ser más amplio de lo conocido.
Q & A
¿Qué es la operación Triangulation y qué reveló sobre la seguridad de los dispositivos móviles?
-La operación Triangulation fue un ataque sofisticado que demostró que incluso los dispositivos móviles de las empresas de ciberseguridad, como Kaspersky, pueden ser vulnerables. Se descubrió que los atacantes habían utilizado vulnerabilidades en los smartphones para acceder a información confidencial de los empleados de Kaspersky.
¿Cómo descubrieron los atacantes la campaña de Triangulation?
-La campaña de Triangulation se descubrió por pura casualidad debido a que alguien monitoreó el tráfico de red, algo que rara vez se hace. Se observó un patrón extraño en las peticiones de dominio que provenían de dispositivos móviles de Kaspersky.
¿Qué tecnología se utilizó para analizar el tráfico de red durante la investigación de Triangulation?
-Para analizar el tráfico de red, se utilizó una tecnología que permite analizar estadísticas y detectar patrones anómalos en las conexiones de dispositivos móviles a diferentes dominios.
¿Cuál fue el vector de infección utilizado en la campaña de Triangulation?
-El vector de infección fue a través de mensajes iMessage que contenían archivos PDF maliciosos con una vulnerabilidad en el parser de True Type Font que existía desde los años 90.
¿Cómo se aseguraron los atacantes de que el exploit solo se ejecutara en dispositivos específicos?
-Los atacantes utilizaron una técnica llamada 'js validator' que dibujaba un triángulo con WebGL para hacer un 'pixel hashing' y determinar el modelo de CPU y GPU del dispositivo, asegurándose de que el exploit se ejecutara solo en los dispositivos deseados.
¿Qué es un 'zero-day' y cómo de valioso puede ser?
-Un 'zero-day' es una vulnerabilidad en un software que se descubre y se explota antes de que el desarrollador del software tenga conocimiento de ella. Los 'zero-days' pueden valer millones de euros, dependiendo de quién lo compre y cómo se utilice.
¿Qué medidas tomó Kaspersky para proteger sus dispositivos móviles después del ataque de Triangulation?
-Kaspersky tomó varias medidas, incluyendo el desarrollo de su propio sistema operativo para móviles, el monitoreo del tráfico de red y la creación de un consorcio entre fabricantes de hardware y desarrolladores para mejorar la seguridad.
¿Cómo es posible que una empresa de ciberseguridad como Kaspersky sea vulnerable a este tipo de ataques?
-A pesar de tener medidas de seguridad, ninguna empresa está completamente segura. Los atacantes a menudo tienen recursos y conocimientos avanzados para encontrar y explotar vulnerabilidades, incluso en las empresas de seguridad.
¿Qué información se pudo obtener a través del ataque de Triangulation?
-A través del ataque, los atacantes pudieron obtener acceso a conversaciones privadas, grabaciones de audio, posiciones GPS, y bases de datos de aplicaciones como WhatsApp y Telegram de los dispositivos comprometidos.
¿Cómo afectaron los hallazgos de Triangulation a la percepción de la seguridad en dispositivos móviles?
-Los hallazgos de Triangulation mostraron que incluso los sistemas operativos más seguros y utilizados, como iOS, pueden ser vulnerables a ataques sofisticados. Esto aumentó la conciencia sobre la importancia de la seguridad y la protección de la privacidad en los dispositivos móviles.
Outlines
😱 Ataques a dispositivos de Kaspersky
Se discute una campaña de ataque que vulneró dispositivos de empleados de Kaspersky, destacando la gravedad de atacar a una empresa de ciberseguridad. Se menciona la imposibilidad de seguridad del 100% y la creación de un sistema operativo por parte de Kaspersky para mejorar la protección. El descubrimiento de la campaña fue accidental a través del monitoreo del tráfico de red.
🕵️♂️ Análisis de la campaña de ataque
Se narra cómo se llevó a cabo la investigación de la campaña, que duró 6 meses y reveló una cadena de explotación. Se menciona el uso de Apple ID o número de teléfono como vector de infección y la utilización de tecnología para analizar el tráfico de red, descubriendo patrones extraños en los dominios visitados por los dispositivos de Kaspersky.
📲 Infiltración en dispositivos iOS
Se describe cómo los atacantes utilizaron vulnerabilidades en los dispositivos iOS para infectarlos sin que los usuarios notaran. Se abordan técnicas como la 'Pixel Hashing' para identificar el modelo de CPU y GPU del dispositivo, y se menciona la imposibilidad de realizar una imagen forense de un iPhone, limitando las opciones de análisis a backups de iTunes.
🔍 Detalles del ataque 'Triangulation'
Se explican los detalles del ataque 'Triangulation', incluyendo la utilización de un certificado para cifrar el tráfico y la instalación de una VPN para controlar el tráfico. Se detalla cómo se engaña al móvil para que utilice un certificado conocido y cómo se realizan modificaciones en los paquetes de red en tiempo real.
🤖 Operación Triangulation: Espionaje y control
Se revela cómo el ataque 'Triangulation' permitía al atacante controlar y espionar dispositivos móviles, incluyendo la grabación del micrófono, la obtención de información de WhatsApp y Telegram, y el acceso a la cámara y la ubicación GPS. Se menciona la capacidad de realizar estas acciones incluso con el teléfono en modo avión.
🔏 Conclusión y reflexiones finales
Se concluye con la posibilidad de que ataques similares a 'Triangulation' puedan estar ocurriendo actualmente y la importancia de la investigación y el análisis de vulnerabilidades en sistemas operativos como iOS y Android. Se reflexiona sobre la importancia de la seguridad y la vigilancia constante para protegerse de amenazas en la ciberseguridad.
🌐 Comparación de seguridad entre sistemas operativos
Se analiza la seguridad de los sistemas operativos iOS y Android, discutiendo las ventajas y desventajas de los sistemas cerrados versus open source. Se menciona la importancia de la colaboración y la auditoría en la detección de vulnerabilidades y se felicita a los investigadores por su trabajo en el caso de 'Triangulation'.
Mindmap
Keywords
💡Ciberseguridad
💡Kaspersky
💡Campaña de ataques
💡Monitorización de tráfico de red
💡Zero-day exploits
💡VPN
💡Análisis forense
💡Ejecución remota de código
💡Identificación de patrones
💡Implante de spyware
Highlights
Se discute una campaña de ataque que vulneró dispositivos de empleados de Kaspersky, destacando la seriedad del acto.
La campaña fue descubierta por casualidad a través del monitoreo del tráfico de red.
Kaspersky utilizó una WiFi separada para dispositivos móviles de empleados, lo que fue clave en la detección.
El ataque aprovechó la vulnerabilidad de un parser de fuentes True Type de Apple, presente desde los 90.
Durante seis meses, los atacantes mantuvieron el acceso a los móviles comprometidos sin ser detectados.
Se analizaron patrones de tráfico para detectar la actividad anómala de dominios.
La investigación揭示了 una técnica de ataque que implicaba la infección de iPhones a través de iMessage.
Se necesitaba un Apple ID o número de teléfono para atacar a las víctimas.
El ataque incluía la utilización de vulnerabilidades 'zero day' en los smartphones.
La operación 'Triangulation' permitía a los atacantes acceder a información confidencial de altos ejecutivos.
Los atacantes pudieron acceder al micrófono, cámara y bases de datos de aplicaciones como WhatsApp y Telegram.
El malware tenía la capacidad de funcionar incluso en modo avión del teléfono.
Se desarrolló un software llamado Meet m Proxy para analizar el tráfico cifrado de los iPhones.
La investigación incluyó la factorización de componentes del malware para obtener información adicional.
Se admitió públicamente que había ocurrido un ataque y se compartieron detalles sobre la operación.
Se habilitó una dirección de correo electrónico para que otros infectados pudieran compartir información.
La posibilidad de que existen otros sistemas similares en funcionamiento actualmente se discute.
Se reflexiona sobre la importancia del escrutinio en código abierto para la seguridad.
Se destaca la complejidad de la operación y el ingenio de los atacantes y analistas involucrados.
Transcripts
vamos a hablar de una campaña donde
consiguieron atacar vulnerar
dispositivos de los empleados de
kasperski Wow vale es bestia eh es muy
bestia tío que es una campaña primer la
gente que no está metida en cí que es
una campaña Camp una campaña Para mí
sería un evento vale que ocurre entre
Unas fechas en este caso de
ciberseguridad vale para una campaña
sería como un caso no un caso algo que
ocurrió cas cas primer y más importante
punto de este topic se atacó a una
empresa de ciberseguridad es bastante
heavy bastante heavy quieres atacar a
alguien a quién te atacas
a a los polis y se puede imaginar la
gente complicado no porque se supone que
las empresas de seguridad tienen sus
medidas no entonces algún loco o loca
podría pensar [ __ ] Pues si si se han
cargado a kasperski se pueden cargar a
cualquier empresa no Bueno sí No
deberíamos hacer un análisis
tan básico no pero te demuestra que todo
te demuestra que la seguridad 100% no
existe casp está haciendo su propio
sistema operativ cy su propio sistema
operativo para su propio móvil y que es
como para no no Y para sus dispositivos
Hardware todo todo con un sistema
operativo que se supone que es inhab
bueno in hackeable siempre se puede
hackear no esto funciona con el concepto
que me dijiste tú de las máquinas
virtuales que todo está aislado vale
debe tener un de rendimiento bastante
heavy también Sí ahora mismo la batería
chupa mucho en el móvil o sea está
complicado pero vamos a ello o sea para
se va a crear un consorcio entre
fabricantes de Hardware y y
desarrolladores para poder hacer
aplicaciones es para pero ya hay un
Chrome y hay un Telegram qué Guay ya
funciona todo eso vale eh vamos a ello
Entonces esta campaña se descubrió de
pura casualidad o sea ni siquiera nadie
se había Enterado y de casualidad se
descubrió que esto estaba pasando y por
qué Porque se hizo una cosa que casi
nadie hace que es monitorizar el tráfico
de red kasperski tiene una WiFi
solamente para eh dispositivos móviles
Okay Vale donde la gente que tenemos
dispositivo móvil si estás en la oficina
te conectas a esa WiFi vale separada del
resto de la de la red Cómo controlas que
los empleados realmente hagan eso porque
porque la el acceso por WiFi va por
certificado vale Okay qué teléfonos eran
primero que nada iPhone Okay vamos a
explicar aquí qué necesitaba el atacante
para poder vulnerar los teléfonos de
kasperski Apple ID o un número de
teléfono Qué fuerte tío que solo con el
[ __ ] número de teléfono puedas atacar a
un tío claro porqueo Cuál era el vector
de de infección ha mage esta
investigación la llevó a cabo anes de mi
equipo Vale y la la investigación duró 6
meses chaval se meses para darse cuenta
y durante todo esemp seis meses para
saber que había algo y para descubrir
todo el Chain toda la cadena de
explotación y en todo ese momento
durante todo ese tiempo estas personas
tenían los móviles comprometidos No sé
exactamente si ya estaban comprometidos
o estaban salvaguardados pero pero el
hecho objetivo es que para tú Investigar
una cadena de ataque tienes que dejar
que esa c ataque actúe no cómo se
descubrió Esto vale que esto es
importante hay una tecnolog
que te permiten analizar el tráfico de
red vale lo que se descubrió es que
había dos dominios dominio por ejemplo
nate y Sebas y luego.com y y Edgar vale
por ejemplo y esto siempre se hacía así
nate y Sebas o Mark y Edgar mar y Edgar
o y Sebas vale est siempre en parejas
digamos no siempre en parejas una ruesta
uno otra ruesta otro y cuando analizaron
todo esto vieron que estas peticiones
exclusivamente venían de dispositivos
para darte cuenta de esto tienes que
analizar el tráfico y sacar estadísticas
es un poco paranoico también hacer esto
no es no es parte de tu de tu cultura
censal no controlar los dominios destino
donde se encuentran tus dispositivos o
sea esto la gente en el día a día accede
a páginas web Us aplicaciones todo eso
se conecta a dominios y de vez en cuando
un administrador de sistemas experto en
ciberseguridad Pues dice voy a sacar un
reporte de todos los dominios a los que
se conectan los móviles de estos
empleados y de repente dice aquí hay un
patrón extraño hay un patrón extraño
cuat dominios y de esos cuatro dominios
o sea siempre que un móvil se conecta a
uno de ellos también se conecta al otro
Eso era un patrón que se repetía
sian.com los nombres eran sugerentes
vale si tú lo ves desde una perspectiva
de alguien con experiencia revisando
tráfico decías Qué raro aquí viene la
parte de investigación es decir al ser
dispositivos iOS tú no puedes hacer una
imagen del dispositivo una imagen te
refieres a [ __ ] hacer una adquisición
forense en el que t imagen bita bit
total y completa del dispositivo móvil
[ __ ] todo lo que ha en el
almacenamiento Y pasarlo a un archivo
memoria todo o sea eso es imposible no
se puede hacer eso con Apple Cuál es la
única alternativa que te queda hacer
backups de iTunes o sea coges el móvil
lo enchufas al al Mac o al y haces una
te vas a iTunes y haces una [ __ ] copia
de seguridad y esa es la única forma en
la que expertos mundiales de
ciberseguridad pueden analizar el [ __ ]
iPhone tío flipas eh cor otra cosa
también muy importante es que este este
operación esta campaña es indetectable
al uso es decir tú como usuario no
tienes forma de saber que eso está
pasando No claro no hay ningún popup no
te garantiza el teléfono no hay nada O
sea tú puedes estar infectado como en
gentiles y no saberlo y no enterarte
nunca no nunca qué se utilizó para esta
campaña 40 days 40 days significa que
hay cuatro vulnerabilidades que existen
en el Smartphone y nunca nadie sabe que
existe cl eso es cuánto crees que vale
un cero day rce o sea ejecución remota
de código millones millones tiene que
valer millones de euros depende de quien
te lo pague No hombre claro depende de
quien te lo pague eso te lo pague Pero
si te te lo puede comprar un gobierno
quizás Incluso te diría no podría
gobierno de un país de Irán hay hay una
empresa que se llama zerodium que compra
normalmente ese tipo de cer un rc para
iPhone ejecución remota de código tú sin
hacer sin tocar a ese tío desde internet
Le puedes hacer lo que quieras no bueno
ejecutarle código remoto básicamente
vale un millón no iba a desencaminado no
de dólares americanos vale si en vez de
comprártelo zerodium te lo compra Sebas
que es un cibercriminal cuánto pagaría
Sebas por ello depende lo que vaya a
sacar con ello pero pero tú no compras
un cer day para iPhone para mirar si la
persona usa Netflix o para el víde no no
no lo harías para montar una mega
campaña que vas a recaudar millones y
millones y millones cuánto puedas pagar
10 veces más 100 veces más No lo sé
depende Cuánto dinero si hay una
organización con suficiente dinero como
para poder pagarlo y si tienen algo en
mente como para poder aprovechar ese o
sea cuando hablamos de los apts Advance
persistent threat que es lo que ha
sucedido con esta campaña y hablamos de
ataques patrocinados por Estados x Un
gobierno no del pa gobi que ha
subvencionado esta campaña para hacer
esto una persona que monta una campaña
de este tipo para poder tener acceso a
esos 40 days no los puede descubrir el
solo tío comprado o tienen los recursos
económicos y humanos suficientes como
para descubrir esto O sea significa que
estás encontrando una vulnerabilidad que
todo el mundo y Apple y todas las
empresas que están están buscando y tú
la encuentras buscando y tú la
encuentras que tú encuentres cuatro es
Es casi imposible es imposible apte lo
que hablamos de cesidad es que se
quemaron y están parcheadas Claro si tú
usas esto para un ataque Eso significa
está quemado ya no cuando te pillen ya
no lo vas a poder usar nunca más O sea
te has gastado 10 millones lo que sea de
millones de de de dólares
comab y las está exponiendo sea te pen
eso ya no se puede usar Us y todo esto
lo hicieron Para entrar en móviles de
tíos que trabajan en Kaspersky Eso es Es
una locura no tiene sentido es una
locura Bueno al final las empresas de
cía manejamos datos interesantes Noa
quizás vosotros tenéis un cliente que es
alguien muy importante y si quieres
hacer espionaje y sacar información
sobre ese cliente tan importante vas a
por sus seguratas no por su empresa que
l seg objetivo y por ejemplo hay unas
empresas que se llaman mssp que son
proveedores de servicio que dan servicio
a muchos clientes si tú consigues
vulnerar es mssp vulner de facto a todos
los demás entonces seguramente haya
gobiernos empresas muy grandes que pues
utilizan de esta manera con lo cual
espiar los móviles de altos cargos de
vuestra empresa de Kaspersky es algo que
puede exponer a grandes empresas no
podría podría llegar a exponerlo está
claro que el único objetivo de los apt
es el recabado de inteligencia antes de
empezar a explicar el flujo quiero
recalcar algunas cosas vale problemas
que nos encontramos a la hora de
analizar esta campaña de PT en los
dispositivos iPhone que se disponían en
ese momento no había posibilidad de
hacer jailbreak porque el jailbreak es
meter una especie de exploit que lo que
hace es abrir el iPhone a poder instalar
aplicaciones que no son oficiales para
hacer eso el jailbreak utiliza alguna
vulnerabilidad y Apple qué dijo cuando
recibió los datos Apple no no habla
mucho vale No dijo nada dijo Vale
gracias de de hecho Apple Apple ha
parcheado cosas en los iPhone sin decir
nada Es más hay una bidad que se explotó
en esta campaña que es 100% culpa de
Apple es el true typ font en el parser
de la Fuente había una unidad fue por un
error de un programador Vale entonces
esa unidad ha estado desde los años 90
What the fuck disp o sea en el ataque
que os hicieron de las 4 de is Había una
que existía desde los 90 eso es Dios o
sea eso es quemar una carta eso es como
una Black Lotus tío de no O sea esa esa
midad de por sí no les hubiera permitido
probablemente hacer todo ya pero hizo
parte pero hizo una parte Qué locura Eh
sí cómo se afronta esta investigación
Cómo analizas un ataque apt de esta
magnitud para empezar lo que se hizo fue
montar un software Open source que se
llama Meet m Proxy donde tú instalas una
entidad certificadora una ca en el
teléfono lo que se hizo fue eh utilizar
min Proxy para poder anizar el tráfico
cifrado de los iPhone y además tiene la
posibilidad que es muy chulo de poder
hacer modificaciones de los paquetes de
red on the Fly lo que se hizo fue
también instalar una VPN entre el
dispositivo iPhone y un servidor un vps
utilizando ww Entonces el primer
objetivo era intentar que ese tráfico
que iba a esos dominios raros ver qué
[ __ ] era eso es y para eso montaste
primero que nada el tema del certificado
claro engañéis al móvil para que cifre
el tráfico con un certificado que
vosotros ya tenéis es y Este certificado
os permite desencriptar porque como ha
sido cifrado con vuestro certificado lo
podéis ver lo podis Entonces ya tenéis
el tráfico en plano todo visible y
aparte de eso Vais a través de una VPN
con wireguard con un servidor vuestro
eso es un vps para poder controlar el
canuto de red no el al 100% no 100%
puedes ver todo no se te escapa nada
todo lo que habla el móvil con el mundo
exterior tú lo estás viendo estoy viendo
plano ad salvo aquellas aplicaciones o
servicios que utilicen ssl pining Okay
como es el caso de
ent no sirvió el tema del certificado Sí
sí servi para para controlar los Dominos
de los atacantes porque una vez que está
infectado el teléfono vale Ya comunica
no es que comunica todo el rato por
imessage per es que el ataque llega el
image llega como vctor de infección o
sea tú me estás diciendo que te llega un
[ __ ] imessage al Iphone Y estás
infectado no no solamente eso sino que
no te enteras porque esto era no ves el
mensaje ni siquiera no no esto era cero
click significa que esto llega te
infecta y no te enteras no te salta ni
la notificación nate O sea yo ahora
mismo estoy aquí un tío dice le voy a
infectar en el caso que yo tuviese esa
versión y le dice voy a infectar y de
repente me manda un message no me sale
nada en pantalla no me sale ninguna
notificación ningún mensaje Ya está
tiene acceso a mi
cor Dios mío heavy eh es muy bestia tío
muy bestia Entonces esto es toda la capa
de red vale esto es el circo que
montastic para poder ver el tráfico no
lo que hicimos fue mir había unos logs
esto lo sacáis de los backups de iTunes
Okay donde salía una aplicación que se
llama Im transfer agent que esto es
legítimo de iPhone eh oa este proceso
estaba creando entradas en el log eso es
este es el proceso que se encarga de
descargar los adjuntos de un imessage de
imessage vale o sea te mandan una foto
un archivo lo que sea se lo descarga eso
luego tenemos otro log dentro del
aplicativo donde salían modificaciones
en la carpeta que internamente utiliza
iPhone para eh guardar los adjuntos que
tú recibes en el teléfono acciones de
delete de copy y luego encontramos una
cosa que fue la más interesante que fue
encontrar un proceso que se llama backup
agent esta herramienta Es legítima de
iOS Okay pero está deprecated o sea está
ahí la han dejado ahí en el software
pero es un servicio que está desactivado
está ahí pero no se usa pero encontramos
una cosa interesante y es que estaba
haciendo conexiones a internet
concretamente a los servidores de
comando y control de los at antes vale
eh los servidores de comando y control
para la gente de casa básicamente son
los servidores que el atacante tiene
montados para controlar toda la
operación no o sea es como un Server que
él tiene que es supuestamente desde
dónde lanza esos ataques y desde donde
controla y recaba información de los
dispositivos que están afectados es es
Vamos a entrar en la primera fase de de
explotación vale Okay Por qué se llama
operación triangulation tenemos que al
principio el exploit vale después de que
esto es exitoso tenemos lo que se llama
un js validator vale vamos a comprobar
tu tu mente maligna Si tú fueras un
atacante y estuvieras en la primera fase
del ataque hecho el exploit he
conseguido acceso al móvil de Sebas qué
es lo que más te importaría que no me
pillen Exacto vale mantenerte invisible
lo que hicieron fue utilizar un webgl
vale webgl es la funcionalidad que
tienen los browsers o sea dentro del
motor de javascript es una funcionalidad
que te permite correr aplicaciones en 3D
pues lo que hicieron fue dibujar un
triángulo
y luego con eso con ese dibujo lo que
hicieron fue hacer una técnica que se
llama Pixel hashing hasharon el
contenido de de esos píxeles ocupados
vale vale vale vale para saber el modelo
de cpu y de gpu [ __ ] putao hti [ __ ]
vale lo que está pasando aquí es voy a
comprobar si estoy en el entorno donde
me tengo que ejecutar Quiero saber si si
es el dispositivo modelo eh marca
etcétera correcto del móvil que yo
quiero atacar eso es entonces abro el
motor web de renderizado de 3D eso es le
pido que pinte un triángulo que es como
la figura más simple webgl y en general
en 3D y según Cómo se pinta de rápido
Cómo se pinta todo ta el Triángulo lo
que ocupa la pantalla pantalla etcétera
puedo saber qué dispositivo es y para
hacer eso yo previamente en mi casa
tengo que haber dibujado ese triángulo
en todos los modelos de iPhone todos los
modelos de iPhone y ver si hay alguna
diferencia porque a lo mejor no la
encontraba la diferencia pero este tío
encontró que hay diferencia según el
modelo Claro porque tú si si ahora
miráramos de manera histórica todos los
iphones las pantallas es los tamaños han
ido cambiando calado la velocidad de
pintar el Triángulo según el modelo que
tienes si es más potente menos potente
Sí sí sí Entonces por qué se llama se
llama operation triangulation no porque
hace triángulos eso es Qué guapo
Entonces lo primero que lo primero que
hace este atacante es vale generar
exploit y se asegura de que solo corra
donde va a funcionar claro es decir el
primer exploit saben que funciona y este
js valito simplemente estel ifica un
entorno donde va a mirar si esto se
puede o no una vez que el js validator
esta Okay utilizando una librería
criptográfica que se llama nackel lo que
hacía era generar una clave temporal que
utilizando la clave pública del server
de los atacantes vale generaba una shet
key que es la que hacía servir para
descifrar desempaquetar descomprimir un
adjunto cifrado de mage De dónde sale
esa clave temporal la genera el js
valito con la clave con el nackel vale
esta clave es importante porque temporal
no puedes obtenerlo buim tí claro
solamente sirve para ese momento y
solamente se sirve para descifrar ese
archivo en ese teléfono de forma única
pero no no se puede vol utilizar esa
clave Vale entonces qué maneras se te
ocurren como programador para conseguir
descifrar el archivo ad junto Cómo se te
ocurre con este js validator eh
conseguir pero teniendo la clave que hay
aquí no la pues tener puedes ejecutar el
js valor editor en un en un sandbox no
imposible porque comprueba solamente que
esté eh e en el teléfono real no puedes
montar un entorno que sea que simule
este móvil y que tú puedas ver cosas
Eres un buen tío nate eh Cómo cómo se
cómo lo hicimos que es una locura lo que
hicimos fue parchear el js
validator claro lo que hicimos es para
que se ejecut en cualquier sitio backd
no no no mucho más Crazy lo que hicimos
fue definir una constante en el código
con nuestra clave Qué bueno Tío qué
bueno claro con nuestra clave lo que
hacemos Es vale vale vale vale que
tenemos el control de la clave todo el
rato vale o sea traduciendo a cristiano
el malware que venía por Ah message
original que lo primero que hacía era
verificar que estábamos en el
dispositivo que estábamos si estábamos
no sé qué tal y cual era el Script este
que es el js validator que luego
dibujaba el Triángulo pues esto todo
esto era un programita aú así entonces
vosotros habéis cogido ese programa y lo
hemos factorizado o sea este programa
Por cierto lo habéis analizado eso es
con algún Sí con una herramienta de
depuración habéis visto lo que hacía y
lo habéis le habéis cambiado una línea
Sí o sea hemos hemos modificado el
programa Todo esto on the Fly Sí es que
es muy loco teníamos que esperar a que
el teléfono se infectara para hacer
estas modificaciones on the Fly Proxy
con min Proxy V os claro onfly para
modificar Esto vale Ya entiendo O sea
antes hemos dicho que este móvil cuando
hablaba con internet esto no hablaba ni
de [ __ ] coña con internet hablaba con un
vps vuestro un servidor virtual había
una conexión aquí de VPN de la Host que
no había forma de que este hable con
internet si no pasaba por aquí y él aquí
todos los mensajes que le llegaba los
podía manipular y les podía cambiar
cosas Entonces cuando le llegaba el
mensaje de imessage él decía eh trae
para acá eso es cogía ese código que
llegaba ese archivo de imessage le
cambiaba cosas lo parchea le metía un
parche y en ese parche lo que metías era
que la clave privada que te ha dicho
este tío Esta no es es una nuestra que
es esta eso es Entonces cuando llega e
infecta el móvil está ejecutando ese vjs
validator que dibuja el triangulito hace
40 [ __ ] y al final tiene esa clave
privada esa clave privada la has hecho
tú eso es eso significa que nos permite
descifrar el contenido del adjunto que
puedes descifrar cuando luego el
servidor manda este adjunto va a mandar
de nuevo por el Proxy no a mandar de
nuevo por por aquí lo tiene que mandar
por aquí y como lo tiene que mandar por
aquí cuando este viene tú también eh
trae para acá que tengo la clave porque
la he metido yo es eso es y ahí lo de
cifras nos permite tener el contenido ad
junto vale Te parece guapo o no muy
guapo vamos a explicar la siguiente fase
debo confesar que desde el primer
momento no se obtuvo paso uno paso dos
paso tres sino que analizas paso uno lo
tengo ya entiendo cómo funciona paso dos
pero igual desde el principio teníamos
ya el paso cuatro Lo que pasa que no
teníamos la cadena entera de explotación
vale estamos ahora en el tercer Step
tercer paso o sea ya tenéis el el
archivo ese final que no sabíais que
eraa eso es eso es que lo podéis ver
descifrar para tú explotar algo en en un
teléfono móvil tú tienes eh puedes hacer
exportaciones a varios niveles Vale
entonces si tú quieres hacer una
exportación en el modo kernel que sería
como nivel más bajo prácticamente hac a
todo ha todo básicamente lo que se usó
fueron dos exploits vale en concreto se
explotó un Back que era para webkit
webkit gente sería el motor que utiliza
Safari bueno los browsers en general
para renderizar las páginas web o sea te
llega el código de la página web Y
webkit de lo que se encarga es de
convertir ese código de página web en la
web que tú ves en tu navegador vale Y el
otro era para Safari Safari es el
navegador naad pero webkit es un
componente de Safari también eso es y
todo esto servía para la cuarta parte de
esta historia que es el binary validator
Vale qué hacía este validador de
binarios este validador de binarios
hacía ciertas comprobaciones en el
teléfono vale para empezar tenía
implementadas todas las técnicas de
detección de gel brick existentes hasta
momento lo que quería asegurarse era de
que no estabas utilizando un dispositivo
roteado Por qué Porque son conscientes
de que un dispositivo roteado se podría
haber sacado en imagen forens del
teléfono y sacar todo el Chain de
explotación de triangulation entonces
para evitarse eso comprueban que que
haya un no jailbreak no otra cosa que
también hacía era eliminar todas las
trazas de image en el teléfono es decir
están cubriendo sus pasos vale Y esto
eran las operaciones que veíais en los
logs de que había borrada cosas borradas
parte parte eso deitos vale entonces lo
que hacen es Borrar todas las entradas
de misas para que nadie en un análisis
forense posterior vea vea eso esto que
había del binary validator servía
también para ejecutar otras cosas dentro
de dentro del teléfono vale qué hicimos
seguimos la misma estrategia que con el
js validator
factorizamos el binary validator con una
Rex para conseguir acceso al siguiente
stage para pedirle al server soy el
binary validator Dame el siguiente stage
del server vale o sea todo esto el
objetivo final de todo esto es ejecutar
un binario o sea un un programa que no
está firmado ni permitido por Apple
saltándose todas las protecciones eso es
tenemos por un lado el exploit teníamos
el js validator sí que que se baja el
nuevo el nuevo luego tenemos los dos
exploits y luego tenemos el binary
validator Pero estos dos exploits Qué
hacen ejecutar el B validator que el ban
validator es un es un programa es un
programita hecho por la gente de
Triangle para para ejecutar este este B
validator dentro del sistema Claro
porque una pregunta entiendo que el
problema es que cómo puede ejecutarse
esto y no esto entiendo que este se
puede ejecutar porque es javascript Y
esto no esto exacto y Porque tú
necesitas hacer unas comprobaciones
previas antes de bajar eh el bator que
es como una O sea es algo como
importante de tu Chain de ataque Sabes
porque lo que te ha explicado el primer
exploit te sirve como puerta de entrada
para ejecutar un un un javascript que
hace ciertas cosas en el móvil o sea tú
no podrías pasarle directamente por ahí
message este no hay ningún exploit que
automáticamente te dé permiso a todo
tienes que hacer una consecución de
cadena de exploits para hacer ciertas
operaciones en el móvil vale endido De
hecho esto que no hemos explicado era un
PDF un [ __ ] PDF con true type font de
los malditos Apple el C de que existía
desde los 90 vale vale vale o sea
básicamente yo esty mandaban un PDF por
ahí message que se había que cuando se
render no no cuando lo
renderiza solo lo renderiza es cuando se
se hace el exploit qué [ __ ] locura sí tú
utilizas a misage Yo sí contigo solo
contigo y con Edgar son soy las únicas
dos personas con las que hablo por ahí
mess no me mandéis pdfs Eh no sabrás
porque es cero
clic cómo puede ser cero click porque
hace algún prender o algo de [ __ ] [ __ ]
claro y no lo puedes eso no lo puedes
cambiar vale fangle db es lo que
llamamos el implante final vale el el
endgame de esto de esta campaña vale tú
consideras que cuando pones el móvil en
modo avión Estás seguro A ver cuando tú
pones el móvil en modo avión
supuestamente sí no el móvil no hace
nada la WiFi y la conexión a la red
móvil debería estar totalmente apagada
pues triangel deb tenía un workaround
para por ejemplo entre otras cosas
grabar el micrófono Wow durante horas
horas y cuando tu teléfono recuperaba la
conexión internet mandar la grabación
automáticamente automáticamente al
servidor de comando y control Qué locura
tío qué tenía se tenía acceso al
micrófono a todo a todo tooa era a todo
el del teléfono claro estás con un
exploit tienes acceso a todo Dios mío
podías ubica micr grabar elel grabar el
teléfono posición GPS donde estabas pero
no solamente eso sino también los nervy
Locations las posiciones cercanas de
otras estaciones GPS eh de dispositivos
cercanos Vale qué más podía hacer podía
también sacar todas las bases de datos
sql Elite de todos las aplicaciones de
todas las aplicaciones en especial de
que dos tenían extractores custom de
WhatsApp y de Telegram es bastante heavy
esto eh tío es muy bestia eh tienes
acceso full a todo y a la cámara también
todo o sea me estás diciendo que me
llega una message no me entero y ven mi
cámara mi WhatsApp mi me graba y tengo
tus fotos vestido dinosaurio tío y y me
graban las conversaciones durante horas
aunque tenga el aunque tenga el móvil en
modo avión no no sea claro Sí sí yo
puedo dejar una tarea programada que te
diga empieza a grabar empieza a grabar y
cuando en algún momento quites el modo
avión y se conectes pum mando la
grabación fuera y lo peor de todo es que
no hay forma de saberlo porque como está
totalmente encapsulado el iPhone y no
puedes acceder absolutamente a
nada Esto está pasando sin que tú tengas
ninguna forma de saberlo no te has
quedado loco eh supuestamente durante
tiempo esta gente estuvo pudiendo
WhatsApp fosas graes Telegram
grabaciones de micro posiciones GPS me
parece una locura que esto sea posible
entiendo perfectamente que sea posible y
tiene todo el sentido del mundo al final
cuando hay un bg en una aplicación y te
puedes saltar unos permisos es normal
que puedas hacer esto lo que pasa que la
mente que tiene que tener ese equipo
para poder llegar a diseñar toda este
esquema de de explotación Me parece muy
bestia no es solamente la mente detrás
de todo esto que es al es un equipo de
gente mu muy inteligente sino también
los que han analizado esto mis compis
para desentraar todo esto se meses eh se
meses investigando todo entendiendo todo
y además permitiendo que se infecten y
además no solo eso sino que tienes que
permitir que se infecten sin hacer
ninguna [ __ ] para que no te pillen
exactamente porque igual se pueden dar
cuenta de que estás Va actualizando el
js validator para obtener binarios
nuevos va actualizando el js validator
para obtener el siguiente stage sí que
pueden detectar que apagué y encendé
mucho los móviles de repente en plan Por
qué están apagando y encendiendo el
móvil todo el rato y volviendose a
infectar todo el rato
t crees que realmente los que crean los
aplicativos y los que operan la campaña
es la misma persona no lo sé pero Quizás
sí que pensaría O sea sí que vería un
patrón raro de repente de repente ha
pasado algo y esta gente reinicia mucho
uno de los teléfonos Pues están
investigando se este teléfono Hay que
reinfectar cada 3 horas por o cada 10
minutos eso sería un poco sospechoso
sería sospechoso eso también lo habis
tenido en cuenta imagino No claro el
gato y el ratón Entonces esto es la
operación de Triangle de la finalidad
del ataque cu era el recabado de
información
en este caso los obos Escuchar escuchar
las conversaciones ver los WhatsApp los
Telegram de personas clave de un jefe de
un departamento de gaspers no sé qué tal
yigal personas específicas que les
estaban escuchando y espiando con el
móvil porque el móvil es un dispositivo
volvemos al inicio del directo el móvil
es un [ __ ] dispositivo de espionaje que
si te lo controlan te lo tienen acceso
total a tu a tu móvil al final que al
final lo que pasa es eso no que pueden
saber todo de ti nosotros al final de
esta investigación lo que hicimos fue no
solamente liberar la herramienta para
que todo el mundo lo mirara no solamente
eso sino también admitir de forma
pública que esto que esto había pasado y
hicimos es lo mejor al final no decir
públicamente mir s Pero esto no lo hace
nadie vale Y luego además eh hicimos una
publicación contando los detalles de
esta operación por eso yo puedo venir
aquí hoy y contarla Pero además
habilitamos una dirección de correo
electrónico para que cualquier persona o
organización eh grupo de actividad lo
que sea se hubiera infectado con
triangulation que también no compartiera
con nosotros y nos han llegado correos
sí sí no te puedo evidentemente decir
quién es Pero hay más gente que ha sido
eh No mucha gente importante entidades
importantes entidades importantes que
también les habían pasado también les
había pasado eso que encontraron trazas
de triangulation pues vaya mala suerte
han tenido esta gente de ir a por
vosotros No pues sí pero claro Esto me
lleva a pensar y me lleva a la reflexión
de que ahora mismo podría haber otro
sistema como este que esté funcionando
No lo dudes que esto volverá O podría
estar funcionando mis
ahora mismo mi iPhone Podría tener un
sistema como este y todo lo que estoy
haciendo o incluso esta conversación
podría estar siendo grabada y escuchada
por correcto correcto y yo no tendría
ninguna conciencia de Jordi White podría
estar escuchando esta conversación ahora
mismo Sí claro Jordi
White por eso invita tantos hackers está
aprendiendo está aprendiendo está
aprendiendo no fuera bromas pero pero
qué es eso esto podría pasar bastante
heavy tío la verdad que me ha dejado muy
loco eh está chulo triangulation está
muy chulo si alguien le interesa de
verdad yo os digo revisar las
publicaciones los CVS entrar al detalle
de los exploits y ánimo con el
entendimiento de ellos porque estamos ya
en un terreno muy muy complejo supiste
Quién habida ha sido buena pregunta no
no se supo nunca no no no hay forma de
saber un servidor de comando y control
no siempre puede saber de quién es no
estaban registrados en nch y protegidos
por
el el anonimato que te proporciona cotf
una hay una cadena de de de vpns antes
de llegar aor o lo que sea antes de
llegar a ese servidor no es correcto si
entráis a una reunión apagad el móvil no
mala idea eh Y apagar el móvil todos los
días esto Esto está bien eh También
reiniciar el móvil cada día Yo yo os
digo que lo reinicié más de lo que lo
hacéis ahora pero claro si estás en un
si estás en una lista te van a volver a
infectar pero el implante no tan activo
o sea tien que volver a infectarte tien
que darse cuenta no sé qué O sea y luego
otra cosa que tiene iPhone también es la
activación del lockdown Mode Sí eso lo
he visto lo he visto si crees que estás
haciendo lock casí lo activo eh el
lockdown mod sí Ah ya por lo esta cosa
tan rara el lockdown Mode te vale Para
eso tienen una estimación del daño que
les causaron con el ataque o simplemente
saben que los espiaron cuantificado lo
tenemos obviamente porque se libró la
herramienta y se pudo se pudo comprobar
no daré esos números pero pero sí que sí
que atacaron a pues empleados de la
compañía sí documentación la dejaremos
en el el el el caso lo dejaré en en la
descripción de YouTube vale el vídeo de
YouTube dejaré la la bueno todo el
artículo no es público O sea que en
securis.com
triangulation de hecho estamos
investigando el próximo triangulation en
Android a ver si si ocurre no Qué pasa
esta pregunta es interesante es decir
que iOS es muy vulnerable claro es que
esto no significa eso o sea esto puede
pasar perfectamente en Android es que
perfectamente Claro sí habéis estado un
poco dese Principio o sea se encadenaron
hasta 40 days para hacer esto es decir
habamos algo ultra mega complejo en uno
de losos operativos más seguras del
mundo claro estamos hablando de que
Google y Apple son dos empresas que
tienen desarrollo de software tienen
equipos muy grandes de desarrollo de
software en el caso de Apple es una de
las empresas tecnológicas más grandes
del planeta entero iOS es el sistema
operativo más usado del mundo si no me
equivoco de no sé si el del mundo pero
por lo menos en en países como est pero
los más seguros del mundo seguro pero es
uno de los más usados en el mundo bueno
de en smartphones Por lo cual es un
sistema operativo que no solo la propia
Apple tiene equipos enteros que están
investigando constantemente si hay bgs
si hay vulnerabilidades si hay este tipo
de cosas sino que hay empresas de
terceros que también lo están haciendo
conente no Por lo cual es muy difícil
realmente que haya una vulnerabilidad y
nadie se dé cuenta bueno pasa cada x
tiempo claro un al año dos al año a lo
mejor no quizás y de hecho nosotros
escogimos cuatro Sí ese día esos seis
meses de golpe se descubrieron cuo la
gente no no se acordará pero hubo como
una especie como de autorización forzada
en iOS que fue por esto O sea de repente
te actualizaban ahí era como una Minor
como una Minor ofd que parchea este
fallo y lo mismo puede pasar en Google
Google es una empresa de software tiene
Android Android está Ultra testeado por
la propia Google y por un montón de
empresas que no son que no son Google no
las probabilidades de que haya un c0d en
Android o en iOS deben ser muy parecidas
No lo sé lo que sí que sé es que lo que
dificulta todo esto es la capa de
explotación esta cadena de flujo de
ataque como Cómo la combinas y los
elementos intermedios que utilizas para
hacer esto pero no hay un factor que
haga que un sistema operativo sea más
propenso a tener bgs o cero days
respecto a otro Sí y aquí lo voy a decir
en abierto aquellos sistemas que tienen
una filosofía open source open source
están mucho más de escrutinio que una
gente que se llama Apple que ha decidido
cerrar crear ese enclave seguro que
entiendo los motivos detrás de ello pero
que no permite el escrutinio por parte
de la comunidad esto es muy interesante
también tío es eso es un tema que
siempre se habló entre Microsoft y y
Linux Microsoft versus Linux y de hecho
una de las cosas de Linux que siempre se
le ha reconocido es que que es muy
seguro y pasa mucho con los proyectos
Open source como lo era en su momento yo
que sé jumla wordpress etcétera tod
todas estas aplicaciones que como la
comunidad puede leer el código ayudan a
mantenerla segura No y a descubrir
vulnerabilidades cosa que si tienes un
sistema completamente cerrado si hay
algún problema se lo tienes que mandar a
la empresa y la empresa es la única en
el mundo responsable y capaz de entender
que está pasando ahí lo que pasa en
Windows Microsoft es la única capaz de
descubrir una vulnerabilidad en en
Windows no Tú la puedes descubrir pero
se la tienes que mandar a ellos para que
ellos entiendan que está pasando y
parchen el código mientras que en un
proyecto Open source todo el mundo tiene
ojos que puede ver no lo que está
pasando por lo cual en el caso en este
caso Android sería menos propenso a
tener cero days o tener vulnerabil
digamos que en el caso de que haya
incidentes se puede se podría revisar
con más facilidad que no hacer est
ya de War más certificado no sé qué Bla
Blu B también otra cosa interesante es
que mientras que Apple es ella y solo
ella en el caso de Android Yo entiendo
que
Samsung xiaomi y todas estas empresas
harán sus propias auditorías también
clar imagino espero espero intentarán
encontrar vulnerabilidades también o sea
hay más ojos no en Android muchísimos
más ojos en Android mirando todo lo que
pasa que en Apple luego también desde
aquí obviamente felicitar a tanto a
igosa como a Boris larin como a George
kerin y como a
también que fueron los que organizaron
todo este esta campaña y que
compartieron y que fue brutal cuando lo
leímos qué Guay tío en una buena esta
gente tengo una suerte está rollado de
gente muy inteligente muy top tío Estás
ahí tú en verdad estás ahí en la élite
tío eres parte de la élite parte de si
estoy allí imagino que sí no yo que sé
vosotros también sois élite
tambén pero sí
[Música]
sí foreign
[Música]
5.0 / 5 (0 votes)