{"id":28946,"date":"2023-06-28T16:34:24","date_gmt":"2023-06-28T14:34:24","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=28946"},"modified":"2023-06-28T16:35:32","modified_gmt":"2023-06-28T14:35:32","slug":"triangledb-mobile-apt","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/triangledb-mobile-apt\/28946\/","title":{"rendered":"TriangleDB: el implante de spyware de Operation Triangulation"},"content":{"rendered":"<p>Hace un par de semanas, nuestras tecnolog\u00edas <a href=\"https:\/\/www.kaspersky.es\/blog\/triangulation-attack-on-ios\/28855\/\" target=\"_blank\" rel=\"nofollow noopener\">detectaron<\/a> un nuevo ataque APT contra iPhone que formaba parte de una campa\u00f1a dirigida, entre otros, a los empleados de Kaspersky. Para implementar el ataque, un grupo de atacantes desconocido utilizaba una vulnerabilidad en el kernel de iOS para implantar un software esp\u00eda denominado TriangleDB en la memoria del dispositivo. A continuaci\u00f3n, te contamos todos los hallazgos de nuestros expertos que han podido estudiar este implante a fondo.<\/p>\n<h2>\u00bfQu\u00e9 puede hacer el implante TriangleDB?<\/h2>\n<p>El estudio de este implante no ha sido una tarea sencilla, dado que funciona exclusivamente en la memoria del tel\u00e9fono, sin dejar ni un solo rastro en el sistema. Es decir, al reiniciar se borran por completo todo los signos de ataque y el malware cuenta con un temporizador de autodestrucci\u00f3n que se activa autom\u00e1ticamente 30 d\u00edas despu\u00e9s de la infecci\u00f3n inicial; siempre que el operador haya decidido no enviar ning\u00fan tipo de comando que ampl\u00ede el tiempo de ejecuci\u00f3n. La funcionalidad b\u00e1sica del implante incluye las siguientes caracter\u00edsticas:<\/p>\n<ul>\n<li>la manipulaci\u00f3n de archivos (creaci\u00f3n, modificaci\u00f3n, eliminaci\u00f3n y exfiltraci\u00f3n);<\/li>\n<li>la manipulaci\u00f3n de los procesos en ejecuci\u00f3n (hacerse con la lista y finalizarlos);<\/li>\n<li>la exfiltraci\u00f3n de elementos del llavero de iOS, que pueden contener certificados, identidades digitales y\/o credenciales para varios servicios;<\/li>\n<li>la transmisi\u00f3n de datos de geolocalizaci\u00f3n, entre las que se incluyen las coordenadas, altitud y velocidad y la direcci\u00f3n del movimiento.<\/li>\n<\/ul>\n<p>Adem\u00e1s, el implante puede cargar m\u00f3dulos adicionales en la memoria del tel\u00e9fono y ejecutarlos. Si est\u00e1s interesado en conocer toda la informaci\u00f3n t\u00e9cnica del implante, puedes visitar <a href=\"https:\/\/securelist.com\/triangledb-triangulation-implant\/110050\/\" target=\"_blank\" rel=\"nofollow noopener\">esta publicaci\u00f3n del blog Securelist<\/a> dirigida a expertos en ciberseguridad.<\/p>\n<h2>Los ataques APT contra dispositivos m\u00f3viles<\/h2>\n<p>En general, el objetivo principal de los ataques APT en los \u00faltimos tiempos han sido los ordenadores personales tradicionales. No obstante, los dispositivos m\u00f3viles actuales se pueden equiparar a los PC de oficina en t\u00e9rminos de rendimiento y funcionalidad. Se utilizan para interactuar con informaci\u00f3n comercial cr\u00edtica, almacenar secretos personales y comerciales y pueden servir como claves de acceso a servicios corporativos. Por ello, los grupos de APT se esfuerzan cada vez m\u00e1s por dise\u00f1ar ataques contra los sistemas operativos m\u00f3viles.<\/p>\n<p>Por supuesto, Triangulation no es el primer ataque dirigido contra los dispositivos iOS. Seguramente todos recordar\u00e9is el famoso <a href=\"https:\/\/www.kaspersky.es\/blog\/how-to-protect-from-pegasus-spyware\/26812\/\" target=\"_blank\" rel=\"nofollow noopener\">caso<\/a> del spyware comercial Pegasus, por desgracia todav\u00eda en activo. Aunque tambi\u00e9n hay otros ejemplos como Insomnia, Predator o Reign. Adem\u00e1s, no es de extra\u00f1ar que los grupos de APT hayan despertado su inter\u00e9s tambi\u00e9n por el sistema operativo Android. De hecho, no hace mucho salt\u00f3 la noticia sobre el <a href=\"https:\/\/thehackernews.com\/2023\/04\/pakistan-based-transparent-tribe.html\" target=\"_blank\" rel=\"nofollow noopener\">ataque<\/a> del grupo de APT \u201cTransparent Tribe\u201d que usaba la puerta trasera CapraRAT contra los usuarios indios y paquistan\u00edes de este sistema. Por otro lado, en el tercer trimestre del a\u00f1o pasado, <a href=\"https:\/\/securelist.com\/apt-trends-report-q3-2022\/107787\/\" target=\"_blank\" rel=\"nofollow noopener\">descubrimos<\/a> un spyware hasta entonces desconocido que se dirig\u00eda a los usuarios de habla persa.<\/p>\n<p>Todo esto sugiere que, para proteger a una empresa de los ataques APT en estos d\u00edas, es necesario garantizar la seguridad no solo de los sistemas fijos (servidores y estaciones de trabajo), sino tambi\u00e9n de los dispositivos m\u00f3viles utilizados en el proceso de trabajo.<\/p>\n<h2>C\u00f3mo mejorar tu protecci\u00f3n contra los ataques APT en m\u00f3viles<\/h2>\n<p>No ser\u00eda correcto dar por hecho que la protecci\u00f3n predeterminada que ofrecen los fabricantes es suficiente para proteger tus dispositivos m\u00f3viles. El caso de Operation Triangulation muestra claramente que ni siquiera las tecnolog\u00edas de Apple son perfectas. Por tanto, recomendamos a las empresas que implementen siempre un sistema de protecci\u00f3n de m\u00faltiples capas con las herramientas adecuadas para el control del dispositivo m\u00f3vil, adem\u00e1s de los sistemas que puedan monitorizar sus interacciones en la red.<\/p>\n<p>La primera l\u00ednea de defensa debe ser una soluci\u00f3n del tipo MDM. Nuestro <a href=\"https:\/\/www.kaspersky.es\/small-to-medium-business-security?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Endpoint Security for Mobile<\/a> proporciona una gesti\u00f3n centralizada de la seguridad de los dispositivos m\u00f3viles a trav\u00e9s de Kaspersky Security Center, nuestra consola de gesti\u00f3n. Adem\u00e1s, nuestra soluci\u00f3n brinda protecci\u00f3n contra el phishing, las amenazas web y el malware. Eso s\u00ed, solo est\u00e1 disponible para Android dado que, lamentablemente, Apple no admite soluciones antivirus de terceros.<\/p>\n<p>En concreto, utiliza la tecnolog\u00eda <a href=\"https:\/\/www.kaspersky.com\/enterprise-security\/wiki-section\/products\/kaspersky-security-network?reseller=es__acq_ona_smm__all_b2b_blo_lnk_______\" target=\"_blank\" rel=\"nofollow noopener\">Cloud ML para Android<\/a> para detectar el malware relacionado con este sistema operativo. Esta tecnolog\u00eda, que funciona en la nube de KSN, se basa en m\u00e9todos de aprendizaje autom\u00e1tico cuyo modelo, entrenado con millones de muestras conocidas de malware para Android, detecta incluso malware previamente desconocido con alta precisi\u00f3n.<\/p>\n<p>Sin embargo, los actores de amenazas utilizan cada vez m\u00e1s plataformas m\u00f3viles en sus ataques dirigidos sofisticados. Por tanto, tiene sentido utilizar un sistema que pueda monitorizar la actividad de la red, ya sea la informaci\u00f3n sobre seguridad y gesti\u00f3n de eventos (SIEM) o alguna otra herramienta que pueda ayudar a tus expertos a gestionar incidentes de ciberseguridad complejos con una detecci\u00f3n y respuesta extendidas inigualables, como nuestra <a href=\"https:\/\/www.kaspersky.es\/enterprise-security\/anti-targeted-attack-platform?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Anti Targeted Attack Platform<\/a>.<\/p>\n<p>Fueron nuestros expertos quienes descubrieron la Operation Triangulation mencionada anteriormente mientras monitorizaban una red wifi corporativa usando nuestro propio sistema SIEM Kaspersky Unified Monitoring and Analysis Platform (KUMA). Adem\u00e1s, nuestras soluciones de <a href=\"https:\/\/www.kaspersky.es\/enterprise-security\/threat-intelligence?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Threat Intelligence<\/a> pueden proporcionar a los expertos y sistemas de seguridad informaci\u00f3n actualizada sobre nuevas amenazas, as\u00ed como sobre las t\u00e9cnicas, t\u00e1cticas y procedimientos de los atacantes.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"27635\">\n","protected":false},"excerpt":{"rendered":"<p>Los operadores de APT no dejan de aumentar su inter\u00e9s en los dispositivos m\u00f3viles. Nuestros expertos han estudiado una de sus herramientas.<\/p>\n","protected":false},"author":2706,"featured_media":28947,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754],"tags":[368,199,17,3570,2911],"class_list":{"0":"post-28946","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-apt","10":"tag-ios","11":"tag-iphone","12":"tag-mdm","13":"tag-siem"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/triangledb-mobile-apt\/28946\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/triangledb-mobile-apt\/25842\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/triangledb-mobile-apt\/21283\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/triangledb-mobile-apt\/28540\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/triangledb-mobile-apt\/26141\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/triangledb-mobile-apt\/26468\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/triangledb-mobile-apt\/35612\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/triangledb-mobile-apt\/48471\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/triangledb-mobile-apt\/20761\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/triangledb-mobile-apt\/21469\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/triangledb-mobile-apt\/30279\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/triangledb-mobile-apt\/32151\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/triangledb-mobile-apt\/31835\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28946","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=28946"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28946\/revisions"}],"predecessor-version":[{"id":28948,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28946\/revisions\/28948"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/28947"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=28946"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=28946"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=28946"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}