Технический прорыв в Операции Триангуляция: «Лаборатория Касперского» обошла защиту злоумышленников

Специалисты из Глобального центра исследований и анализа угроз «Лаборатория Касперского» (GReAT) на конференции Security Analyst Summit (SAS) раскрыли детали анализа Операции Триангуляция . Они описали методики исследования атаки, благодаря которым были выявлены уязвимости в iOS и эксплойты, лежащие в основе инцидента. Эксперты также поделились данными о инструментах, которые помогли им исследовать закрытую операционную систему и преодолеть защитные механизмы противников, дабы проанализировать все этапы кампании.

Напомним, что летом «Лаборатория Касперского» сообщила об APT-кампании Операция Триангуляция, затрагивающей устройства iOS. Злоумышленники использовали сложный метод распространения эксплойтов через iMessage, что не требовало активных действий от пользователей. В результате злоумышленники получали полный контроль над устройством и пользовательскими данными. По оценке GReAT, основной целью атакующих был шпионаж.

На конференции SAS специалисты «Лаборатории Касперского» представили технические детали многомесячного анализа, раскрывшего цепочку атаки с пятью уязвимостями, из которых четыре были ранее неизвестными уязвимостями нулевого дня. Первоначальной точкой входа была уязвимость в библиотеке обработки шрифтов, вторая - в коде отображения памяти (чрезвычайно опасная и простая в эксплуатации). Уязвимость позволяла получить доступ к физической памяти устройства.

Ещё двумя уязвимостями злоумышленники воспользовались для того, чтобы обойти новейшие средства аппаратной защиты процессора Apple. Также выяснилось, что, помимо возможности удалённо заражать устройства под управлением iOS через iMessage, у злоумышленников была платформа для совершения атак через веб-браузер Safari. Благодаря этому удалось обнаружить и исправить пятую из уязвимостей.

После уведомления от «Лаборатории Касперского», Apple выпустила обновления безопасности, исправляющие четыре уязвимости нулевого дня, обнаруженные исследователями GReAT (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990). Уязвимости затрагивали большое количество продуктов Apple, среди которых iPhone, iPod, iPad, устройства на Mac OS, Apple TV и Apple Watch.

Для выявления уязвимостей и понимания действий атакующих, специалистам «Лаборатории Касперского» пришлось проявить изобретательность, в частности, разработать методы обхода шифрования злоумышленников. Задачу усложняла закрытость iOS. Например, чтобы извлечь вложение из iMessage — начало цепочки заражения — нужно было заполучить зашифрованный текст и ключ для шифрования AES. Первый компонент удалось добыть, перехватив трафик к серверам iCloud через mitmproxy. Проделать то же самое с ключом было нельзя, поскольку он отправляется по протоколу iMessage. Поэтому эксперты придумали способ нарушить процесс загрузки зашифрованного текста вложения, чтобы ключ сохранился в базе данных SMS.db. Для этого они изменили несколько байт в зашифрованном тексте с помощью дополнения для mitmproxy, а затем загрузили резервную копию iTunes с заражённого устройства (они использовались вместо полных образов устройств) и извлекли ключ из содержащейся в ней базы данных.

В компании отметили, что аппаратные средства защиты в новых чипах Apple значительно улучшают устойчивость устройств к кибератакам, но не делают их полностью неуязвимыми. Операция Триангуляция служит напоминанием о важности осторожности с вложениями в iMessage от неизвестных источников. Полученные выводы могут быть полезны для противостояния подобным атакам, а также для поиска баланса между закрытостью системы и доступностью для исследователей.