Один з найвишуканіших зламів iPhone останні 4 роки атакує смартфони російських дипломатів та співробітників «Касперського»
Чергову історію про злам iPhone розповіли співробітники «Касперського» — відомого російського розробника антивірусного ПЗ. За їх словами, атаку здійснювали як на російських дипломатичних посадовців, так і на співробітників самого «Касперського».
Деталі події описало видання Ars Technica.
«Кампанія “Тріангуляція”» — так дослідники назвали злам — триває вже чотири роки. На широкий загал про неї розповіли в червні, а за рік розслідування в компанії так і не дійшли висновку, яке саме призначення такої атаки, та як про її можливість взагалі дізналися зловмисники.
Через повідомлення в iMessage, з яким не потрібно було взаємодіяти користувачу, хакерам вдалося отримувати записи з мікрофонів, фотографії, локацію та інші дані вражених пристроїв. При цьому вірус не переживав перезавантаження смартфона, хоча ніщо не заважало хакерам повторно надіслати потрібне повідомлення та далі стежити за жертвами.
Для цього використовувалися як незадокументоване обладнання в пристроях, так і вразливості нульового дня.
«Витонченість експлойту і невідомість функції свідчать про те, що зловмисники мали передові технічні можливості. Наш аналіз не показав, як вони дізналися про цю функцію, але ми вивчаємо всі можливості, включно з випадковим розкриттям в минулих версіях прошивки або вихідного коду. Вони також могли натрапити на неї через апаратний реверс-інжиніринг» — повідомив електронним листом дослідник «Касперського» Борис Ларін.
Серед вразливостей нульового дня, які використовувалися для атак, зазначені наступні:
Все це разом також могло використовуватися на Mac, iPod, iPad, Apple TV та Apple Watch. Проте нині Apple встигла випустити оновлені патчі безпеки, які закривають ці лазівки.
Однак найцікавішим в цій кампанії є використання досі незадокументованої апаратної функції пристроїв, яка в цьому випадку відіграла ключову роль. Зазначається, що знати про неї могли лише співробітники Apple чи постачальники на кшталт Arm. Ларін припускає, що компонент використовується для тестування, або взагалі випадково потрапив у фінальні пристрої.
Використовуючи вразливості нульового дня зловмисникам вдавалося обійти сучасні апаратні засоби захисту пам’яті, призначені для забезпечення системної цілісності пристрою навіть після того, як зловмисник отримав можливість втручатися в пам’ять базового ядра. На більшості інших платформ, якщо зловмисник успішно використовує вразливість ядра, він отримує повний контроль над скомпрометованою системою.
В пристроях Apple такий захист обійшли шляхом використання вразливості в секретній функції, що дозволило впровадження шкідливого коду в інші процеси, модифікацію коду ядра або конфіденційних даних ядра.
«Якщо спробувати описати цю особливість і те, як її використовують зловмисники, то все зводиться до наступного: зловмисники можуть записати потрібні дані на потрібну фізичну адресу з обходом апаратного захисту пам’яті, записавши дані, адресу призначення і хеш даних в невідомі, не використовувані прошивкою апаратні регістри чипа.
Ми припускаємо, що ця невідома апаратна функція, швидше за все, призначалася для налагодження або тестування інженерами Apple або заводом-виробником, або була включена помилково. Оскільки ця функція не використовується прошивкою, ми не знаємо, як зловмисники могли дізнатися, як її використовувати» — додає Ларін.
Ланцюжок експлойтів також відкрили. Все починалося із CVE-2023-41990, вразливості в реалізації шрифту TrueType від Apple. Тут використовувалися техніки ROP та JOP для обходу захисту, що дозволило віддалено виконати код, хоча і з мінімальними системними привілеями.
Далі — ядро iOS. Маніпуляції з ним стали можливими завдяки вразливостям CVE-2023-32434 (вразливість пошкодження пам’яті в XNU) та CVE-2023-38606 (вразливість, яка знаходиться в секретних регістрах MMIO). Далі для виконання командного коду використовувалася вразливість Safari CVE-2023-32435. Цей код повертався до CVE-2023-32434 та CVE-2023-38606, щоб таки отримати root-доступ, необхідний для інсталяції останнього шпигунського програмного забезпечення.
Коли в червні «Касперський» повідомив про «операцію “Тріангуляція”» та атаку на смартфони співробітників компанії, російський Національний координаційний центр комп’ютерних інцидентів заявив, що подібні атаки були частиною ширшої кампанії Агентства національної безпеки США на дипломатичних представників. ФСБ також звинуватила Apple у співпраці з АНБ. Проте «Касперський» прокоментував останнє відсутністю доказів причетності АНБ чи Apple до атаки:
Наразі ми не можемо з упевненістю віднести цю кібератаку до жодного з відомих суб’єктів загрози. Унікальні характеристики операції «Тріангуляція» не збігаються з моделями відомих кампаній, що робить атрибуцію складною на даному етапі.
Сама Apple не коментувала жодних деталей щодо цього атак, проте представник компанії також заперечив причетність Apple до них.