Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Negli ultimi giorni, tra i report tecnici che circolano nei circuiti di threat intelligence, è comparso un nome che ha iniziato a far discutere parecchio chi si occupa seriamente di sicurezza mobile: Coruna. I dettagli sono stati pubblicati dal Google Threat Intelligence Group insieme ai ricercatori di iVerify, e già questo dovrebbe far capire che non stiamo parlando dell’ennesimo exploit improvvisato scritto da qualche ragazzino con Kali Linux installato da tre settimane.
Secondo le analisi, Coruna non è un semplice exploit ma un framework completo, un arsenale composto da ventitré exploit organizzati in cinque catene di infezione complete per iOS. Non un singolo bug sfruttato con creatività, ma una vera architettura operativa capace di compromettere iPhone dalla versione iOS 13 fino alla 17.2.1. Chi ha lavorato anche solo una volta seriamente sugli exploit Apple sa cosa significa costruire una catena completa su iOS: sandbox, mitigazioni, kernel protections, PAC… non è il terreno dove si improvvisa.
È un lavoro lungo, costoso e pieno di vicoli ciechi.
Costruire una chain iOS oggi significa quasi sempre concatenare più primitive: una memory corruption iniziale, un bypass della sandbox, una primitive kernel per ottenere arbitrary read/write e infine una tecnica per neutralizzare o aggirare meccanismi come il Pointer Authentication Code (PAC). È un lavoro di ingegneria dell’exploit estremamente delicato, dove ogni passaggio deve funzionare perfettamente con quello successivo.
Quando leggo nei report che lo sviluppo potrebbe essere costato milioni di dollari, sorrido un po’. Non perché sia sbagliato, ma perché chi ha passato abbastanza notti davanti a un disassembler sa che il vero costo non è il denaro. È il tempo, la ricerca, le ore passate a capire perché un puntatore si muove di un byte quando non dovrebbe. Quella parte nei report non si vede mai.
La cosa che però mi ha fatto alzare davvero un sopracciglio non è tanto la quantità di exploit, quanto la struttura. I ricercatori parlano di architettura modulare estremamente complessa, con documentazione interna dettagliata e commenti scritti in inglese perfettamente naturale. Un dettaglio che in molti report viene sempre trattato come se fosse una sorta di impronta digitale geopolitica. Personalmente ho sempre trovato queste deduzioni un po’ ingenue. Ho visto codice con commenti perfetti scritto da persone che non parlano inglese nemmeno al ristorante, e codice pieno di errori grammaticali uscire da università occidentali molto rispettate.
Nel cyberspazio le bandiere sono sempre meno affidabili di quanto certi analisti vorrebbero far credere. Naturalmente non poteva mancare la parte più divertente della storia: l’attribuzione. Alcuni ricercatori hanno suggerito un possibile collegamento con la famosa operazione chiamata Triangulation, una campagna molto sofisticata che negli anni scorsi aveva preso di mira iOS sfruttando vulnerabilità profonde nel sistema Apple. Da lì il passo verso ipotesi più fantasiose è stato breve: qualcuno ha iniziato a parlare di toolkit governativi americani sfuggiti di mano, un po’ nello stile di quello che successe anni fa con EternalBlue.
Chi lavora davvero con gli exploit, però, tende a essere molto più prudente.
Boris Larin di Kaspersky GReAT – uno che sugli zero-day non parla per sentito dire – ha fatto notare una cosa molto semplice che molti sembrano dimenticare: usare la stessa vulnerabilità non significa condividere lo stesso codice. Una vulnerabilità è solo una porta. Il modo in cui ci passi attraverso è un’altra storia. Quando una CVE diventa pubblica e iniziano a circolare proof-of-concept, qualsiasi ricercatore con abbastanza competenza può scrivere il proprio exploit completamente da zero.
E qui entra in gioco un dettaglio che per molti analisti sembra quasi invisibile: nei report pubblici non esistono prove di code reuse. Nessuna firma, nessun frammento di codice riutilizzato, nessun elemento tecnico che colleghi direttamente Coruna agli strumenti della Triangulation.
Questo non significa che non esistano relazioni più profonde. Ma nel nostro mestiere le ipotesi senza prove restano… ipotesi.
Personalmente trovo molto più interessante un altro aspetto della vicenda. Per anni exploit chain complete per iOS sono rimaste quasi esclusivamente nel dominio di agenzie governative, gruppi APT di altissimo livello o aziende che sviluppano spyware per clienti statali. Vedere framework di questa complessità emergere in contesti più ampi potrebbe indicare qualcosa che molti sospettano da tempo: certe capacità offensive stanno lentamente uscendo dai laboratori più chiusi.
E qui torna interessante proprio quel numero che compare nei report: ventitré exploit organizzati in cinque catene. Una struttura del genere suggerisce qualcosa di molto preciso. Non sembra il toolkit sviluppato per una singola operazione, ma piuttosto un framework operativo con moduli sostituibili, pensato per adattarsi a versioni diverse di iOS e a target differenti. Un approccio molto più vicino agli arsenali industriali sviluppati da aziende spyware che ai toolkit APT tradizionali.
Se questa interpretazione fosse corretta, significherebbe una cosa piuttosto chiara: qualcuno ha investito seriamente nell’industrializzazione dello sviluppo di exploit per iOS. Quando succede, la storia della sicurezza informatica è piuttosto prevedibile. Prima appaiono nei report di intelligence, poi nelle analisi accademiche, e qualche anno dopo finiscono nei toolkit di persone molto meno istituzionali.
Chi ha memoria lunga ricorda bene cosa successe con gli exploit Windows una decina di anni fa.
Coruna per ora rimane un oggetto interessante, quasi elegante dal punto di vista tecnico. Un framework complesso, chiaramente progettato da qualcuno che sa esattamente dove mettere le mani dentro iOS. Se sia nato in un laboratorio governativo, in un gruppo indipendente particolarmente brillante o in qualche ambiente che preferisce rimanere fuori dai radar, è una domanda che probabilmente continuerà a circolare ancora per un po’.
E a dire la verità, non sono sicuro che conoscere la risposta cambierebbe molto.
Chi lavora davvero con queste tecnologie sa che nel mondo degli exploit avanzati le linee tra ricerca, intelligence e operazioni offensive sono sempre state… piuttosto sfumate. Ma una cosa oggi è sempre più evidente: lo sviluppo di capacità offensive nel cyberspazio non è più soltanto un’attività di ricerca o di intelligence.
È diventato un vero settore industriale.
E alcuni paesi questo lo hanno capito molto prima di altri.
