В среду исследователи представили новые интригующие результаты, связанные с атакой, в ходе которой за четыре года были взломаны десятки, если не тысячи iPhone, многие из которых принадлежали сотрудникам московской охранной компании «Касперский». Главное из открытий: неизвестные злоумышленники смогли достичь беспрецедентного уровня доступа, воспользовавшись уязвимостью в недокументированной аппаратной функции, о которой мало кто знал за пределами Apple и поставщиков чипов, таких как ARM Holdings.
«Сложность эксплойта и неясность этой функции позволяют предположить, что злоумышленники обладали продвинутыми техническими возможностями», — написал в электронном письме исследователь «Лаборатории Касперского» Борис Ларин. «Наш анализ не выявил, как они узнали об этой функции, но мы изучаем все возможности, включая случайное раскрытие информации в прошлых версиях прошивки или исходного кода. Возможно, они также наткнулись на это при реверс-инжиниринге оборудования».
Четыре нулевых дня эксплуатировались годами
Другие вопросы остаются без ответа, пишет Ларин, даже после примерно 12 месяцев интенсивного расследования. Помимо того, как злоумышленники узнали об этой аппаратной функции, исследователи до сих пор не знают, какова именно ее цель. Также неизвестно, является ли эта функция встроенной частью iPhone или включена сторонним аппаратным компонентом, таким как CoreSight от ARM.
Массовая бэкдор-кампания, которая, по словам российских чиновников, также заразила iPhone тысяч людей, работающих в дипломатических миссиях и посольствах в России, по словам российских правительственных чиновников, появился в июне. По словам Касперского, в течение как минимум четырех лет заражения доставлялись в текстовых сообщениях iMessage, которые устанавливали вредоносное ПО через сложную цепочку эксплойтов, не требуя от получателя каких-либо действий.
При этом устройства были заражены полнофункциональным шпионским ПО, которое, среди прочего, передавало записи с микрофона, фотографии, геолокацию и другие конфиденциальные данные на подконтрольные злоумышленникам серверы. Хотя инфекции не пережили перезагрузку, неизвестные злоумышленники поддерживали свою кампанию, просто отправляя устройствам новый вредоносный текст iMessage вскоре после перезагрузки устройств.
В новой информации, опубликованной в среду, говорится, что «Триангуляция» — название, которое Касперский дал как вредоносному ПО, так и кампании, в ходе которой оно установило — использовало четыре критические уязвимости нулевого дня, что означает серьезные программные недостатки, которые были известны злоумышленникам еще до того, как они стали известны. в Apple. С тех пор компания исправила все четыре уязвимости, которые отслеживаются как:
Помимо iPhone, эти критические нулевые дни и секретные аппаратные функции присутствовали в Mac, iPod, iPad, Apple TV и Apple Watch. Более того, обнаруженные Касперским эксплойты были специально разработаны для работы и на этих устройствах. Apple также исправила эти платформы. Apple отказалась комментировать эту статью.
Обнаружение инфекций является чрезвычайно сложной задачей даже для людей с продвинутыми судебно-медицинскими знаниями. Для желающих попробовать список интернет-адресов, файлов и других индикаторов компрометации есть. здесь.
Функция Mystery iPhone сыграла решающую роль в успехе Triangulation
Самая интригующая новая деталь — это нацеливание на ранее неизвестную аппаратную функцию, которая оказалась решающей в кампании «Операция Триангуляция». Функция нулевого дня позволила злоумышленникам обойти расширенные возможности аппаратная защита памяти предназначен для защиты целостности системы устройства даже после того, как злоумышленник получил возможность вмешаться в память основного ядра. На большинстве других платформ, как только злоумышленники успешно используют уязвимость ядра, они получают полный контроль над скомпрометированной системой.
На устройствах Apple, оснащенных такой защитой, такие злоумышленники по-прежнему не могут выполнить ключевые методы последующей эксплуатации, такие как внедрение вредоносного кода в другие процессы или изменение кода ядра или конфиденциальных данных ядра. Эту мощную защиту удалось обойти, воспользовавшись уязвимостью в секретной функции. Защита, которую до сих пор редко удалось преодолеть обнаруженными эксплойтами, также присутствует в процессорах Apple M1 и M2.
Исследователи «Лаборатории Касперского» узнали о секретной аппаратной функции только после нескольких месяцев обширного обратного проектирования устройств, зараженных Triangulation. В ходе курса внимание исследователей было обращено на так называемые аппаратные регистры, которые предоставляют адреса памяти для взаимодействия процессоров с периферийными компонентами, такими как USB, контроллеры памяти и графические процессоры. MMIO, сокращение от «Входы/выходы, отображаемые в памяти», позволяют ЦП производить запись в определенный аппаратный регистр определенного периферийного устройства.
Исследователи обнаружили, что несколько адресов MMIO, которые злоумышленники использовали для обхода защиты памяти, не были идентифицированы ни в одном так называемом дерево устройств, машиночитаемое описание определенного набора оборудования, которое может быть полезно при обратном проектировании. Даже после того, как исследователи дополнительно изучили исходные коды, образы ядра и прошивки, они так и не смогли найти никаких упоминаний об адресах MMIO.
2023-12-27 17:03:30
1703770231
#4летняя #кампания #взломала #iPhone #помощью #возможно #самого #продвинутого #эксплойта #за #всю #историю