Операция «Триангуляция»
Операция «Триангуляция» — это целевая кибератака на iOS-устройства с применением цепочки четырёх уязвимостей нулевого дня. Впервые обнародована в июне 2023 года. Отличается беспрецедентной для iOS-атак технической сложностью. Количество жертв атаки оценивается в несколько тысяч человек.
Цели атаки
Целью атаки являлся шпионаж: извлечение переписок и паролей с устройства, запись разговоров, геолокации. Точное число жертв установить невозможно из-за высокой скрытности организаторов атаки. Некоторые источники оценивают возможное число жертв атаки в несколько тысяч человек, называя среди них коммерческие, государственные и дипломатические организации в РФ и её представительствах за рубежом.[1]
Ход событий
1 июня 2023 «Лаборатория Касперского» заявляет об обнаружении следов новой вредоносной программы на iOS-устройствах своих сотрудников. Выявлено, что программа предназначена для шпионажа и отличается высокой скрытностью, обнаружить её удалось только по необычному обмену данными с зараженных iPhone. По итогам расследования выявлено, что следы первых заражений датируются 2019 годом. Атака получает название «Операция „Триангуляция“».[2]
Практически сразу опубликована утилита triangle_check. Она позволяет пользователям проверить свои устройства iOS на компрометацию, чтобы понять, действительно ли они стали жертвами атаки.[3][4][5]
21 июня 2023 «Лаборатория Касперского» публикует исследования имплантата TriangleDB, применяемого в атаке.[6][7]
В тот же день компания Apple выпускает обновления iOS 15.х и 16.х, в которых устранены две уязвимости, применяемые в атаке: CVE-2023-32434 в ядре iOS и CVE-2023-32435 в механизме отображения веб-страниц WebKit. Считается, что эксплуатация этих программных ошибок позволяла незаметно заражать iPhone в обход систем безопасности iOS.[8][9]
24 июля 2023 Apple выпускает обновления iOS 15.x и 16.x, устраняя уязвимости CVE-2023-38606 в ядре iOS и CVE-2023-41990 в механизме работы со шрифтами FontParser. Эти уязвимости также применялись в цепочке заражения операции «Триангуляция».[10][11]
23 октября 2023 Лаборатория Касперского" публикует данные о многоступенчатой фильтрации потенциальных жертв авторами атаки. Эта фильтрация позволяла атакующим заражать только нужных им жертв и скрываться от безопасников.[12]
26 октября 2023 на Security Analyst Summit представлен доклад о процессе исследования операции «Триангуляция» и попытках получить все компоненты цепочки заражения.[13][14]
27 декабря 2023 на Сhaos Сommunication Сongress представлен доклад о полной цепочке атаки и четырёх уязвимостях, использованных в атаке, включая недокументированные функции процессоров Apple.[15][16][17][18]
28 декабря 2023 Хакер Эктор Мартин[англ.]) узнаёт о применении недокументированных функций процессоров Apple в операции «Триангуляция» и делится известной ему информацией о возможном механизме их работы и предназначении.[19]
Технические особенности
Операция «Триангуляция» отличается беспрецедентной для iOS-атак технической сложностью: цепочка заражения состоит из 14 шагов, в процессе использовались 4 уязвимости нулевого дня, а также недокументированные аппаратные особенности процессоров Apple. Все известные атаки проводились на iOS-версии до 15.7.х, однако применяемые техники работоспособны вплоть до iOS 16.2.[20][2][17]
При получении специально сконструированного невидимого владельцу сообщения iMessage на смартфоне iPhone срабатывал вредоносный код, который загружал дополнительные компоненты с командных серверов операции «триангуляция», получал повышенные привилегии на устройстве и разворачивал в памяти смартфона шпионское ПО с широким доступом к содержимому и функциям устройства.
Заражение устройства
Изначальное заражение осуществлялось через невидимое сообщение iMessage. Вредоносное вложение в iMessage, имеющее формат .watchface (дизайн экрана смарт-часов, фактически ZIP-файл с вложенным PDF), незаметно открывало Safari в фоновом режиме, а в браузере — веб-страницу, откуда загружались следующие компоненты цепочки заражения.
Веб-страница содержала скрипт проверки (валидатор), анализирующий параметры заражаемого смартфона и принимающий решение, продолжать ли заражение. Для того, чтобы уникально идентифицировать жертв, использовалась технология canvas fingerprinting, рисующая на веб-странице треугольник, давший название операции (от англ. triange — треугольник).[12]
На этих этапах атаки эксплуатировались уязвимости нулевого дня CVE-2023-41990, CVE-2023-32434 и CVE-2023-38606.
После прохождения проверки скрипт на веб-странице дополнительно эксплуатирует уязвимость CVE-2023-32435 и загружает в память устройства бинарный код, который получает привилегии root и проводит более детальную проверку смартфона на соответствие интересам атакующих. Этот бинарный валидатор также удаляет следы полученного iMessage и загружает основной вредоносный имплантат TriangleDB.
Вредоносное ПО работает только в памяти смартфона, поэтому после его перезагрузки оно стирается. Атакующие в таком случае заново присылают iMessage и заражают жертву заново.
Недокументированная функция Apple
Чтобы обойти аппаратную защиту памяти, применяемую в последних поколениях процессоров Apple (A12-A16), в эксплойте для уязвимости ядра CVE-2023-38606 были применены недокументированные аппаратные особенности процессоров.[21]
Проводилась запись в регистры MMIO, которые не описаны в документации, а также не используются приложениями на базе iOS или самой операционной системой iOS. В результате код эксплойта способен изменять аппаратно защищенную область памяти ядра iOS. Исследователи «Лаборатории Касперского» предполагают, что этот механизм был создан для отладки самого процессора.[17]
По словам некоторых экспертов, «очень немногие, или вообще никто за пределами Apple и поставщиков чипов, таких как ARM Holdings» могли знать об этой функции.[22]
Эктор Мартин описал возможный механизм эксплуатации, основанный на прямой записи в кэш памяти, что позволяет в ряде случаев обойти механизмы её защиты.[19]
Функции имплантата TriangleDB
Вредоносное ПО TriangleDB имеет модульную структуру, поэтому его функции могут быть расширены загрузкой дополнительных модулей с сервера.
Базовая версия способна загружать на сервер злоумышленников файлы с устройства, извлекать данные из связки ключей, отслеживать геолокацию жертвы, модифицировать файлы и процессы на смартфоне.[7]
Известные дополнительные модули поддерживают продолжительную звукозапись с микрофона (в том числе в авиарежиме), выполнение запросов к базам данных, сохраненных на устройстве, кражу чатов Whatsapp и Telegram.[22][14]
Способы обнаружения и удаления
Блокировка обновлений
Характерным проявлением заражения смартфона вредоносным ПО операции «Триангуляция» была невозможность обновить iOS до более новой версии. Эта особенность проявлялась не на всех зараженных устройствах.[23]
Следы заражения можно обнаружить в служебных файлах на iPhone. Поскольку на самом iOS-устройстве они недоступны, на компьютер делается резервная копия iPhone через iTunes и дальше проводится её анализ. Для анализа применяется утилита Triangle_check[3][24][25]
Анализ сетевых соединений
Вредоносный код "Операции «Триангуляция» устанавливает связь с серверами атакующих, их список был выложен в публичный доступ.[2]
Удаление заражения
Для полностью скомпрометированных устройств исследователи рекомендуют следующую последовательность действий, чтобы предотвратить повторное заражение:[2]
- сброс до заводских настроек
- отключение iMessage
- обновление iOS до более свежей версии.
Происхождение атаки
Лаборатория Касперского не делала официальных заявлений о происхождении атаки и не приписывала её какой-либо хакерской группировке или стране.
Однако 1 июня 2023 ФСБ выступило с заявлением об обнаружении вредоносного программного обеспечения для мобильных телефонов Apple, использующего «предусмотренные производителем программные уязвимости». Также ФСБ прямо обвинила Apple в сотрудничестве с АНБ США. В том же заявлении указано, что заражению подверглись несколько тысяч телефонных аппаратов, в том числе за пределами России: в странах блока НАТО, странах постсоветского пространства, Израиля, САР и КНР.[26][27][28]
Apple в тот же день выпустила заявление, в котором отрицала эти обвинения.[29]
ФСБ и «Лаборатория Касперского» сделали независимые друг от друга заявления. Однако некоторые эксперты считают, что речь в обоих случаях идет именно об операции «Триангуляция».[30][31][32][33]
Последствия
Apple публично опровергла обвинения в сотрудничестве со спецслужбами для внедрения бэкдоров.[29]
Компания выпустила несколько пакетов обновлений, которые устраняют уязвимости в iOS, примененные в операции «Триангуляция».[34][35][9][36][11]
Apple отказалась выплачивать исследователям «Лаборатории Касперского» премию за нахождение уязвимостей в рамках своей программы Bug bounty.[37]
В июле-августе 2023 года стало известно, что использование смартфонов и планшетов Apple в служебных целях запретили в ряде российских государственных и коммерческих организаций: Минцифры, Минпромторг, Минтранс, Федеральная налоговая служба, РЖД, Ростех. Позднее в 2023 году такое же решение приняли Центробанк и МЧС.[38][39]
В сентябре 2023 года стало известно, что правительство Китая приняло решение о расширении запрета на пользование iPhone. Он включает не только сотрудников государственных учреждений, но и подконтрольные государству компании.[40]
В 2024 году запрет iPhone по соображениям безопасности был анонсировал Минобороны Южной Кореи, при этом телефоны на базе Android не запрещены.[41]
Оценки
Код для эксплуатации уязвимостей (эксплойт) в операции «Триангуляция» был назван экспертами самым сложным в истории.[22][42]
Наиболее примечательными особенностями атаки названы знание злоумышленниками недокументированных возможностей чипов Apple и применение четырёх уязвимостей нулевого дня в одной атаке.[43][22][44]
Криптограф Брюс Шнаер оценил атаку как «безумно сложную» и исполненную при государственной поддержке.[45]
Сложностью атаки и возможными способами защиты от неё интересовался Илон Маск[46][47]
Примечания
- ↑ Apple fixes iPhone software flaws used in widespread hacks of Russians (англ.). Washington Post.
- ↑ 1 2 3 4 Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства . securelist.ru (1 июня 2023). Дата обращения: 5 сентября 2024.
- ↑ 1 2 New tool scans iPhones for 'Triangulation' malware infection (амер. англ.). BleepingComputer. Дата обращения: 5 сентября 2024.
- ↑ Найти “Триангуляцию”: утилита triangle_check . securelist.ru (2 июня 2023). Дата обращения: 5 сентября 2024.
- ↑ KasperskyLab/triangle_check. — 2024-09-04.
- ↑ «Операция Триангуляция»: как именно кибершпионы собирали данные с iOS . CNews.ru. Дата обращения: 5 сентября 2024.
- ↑ 1 2 Анализ TriangleDB, импланта “Операции Триангуляция” . securelist.ru (21 июня 2023). Дата обращения: 5 сентября 2024.
- ↑ Сведения о проблемах системы безопасности, устраняемых обновлениями iOS 16.5.1 и iPadOS 16.5.1 - Служба поддержки Apple (RU) . Apple Support. Дата обращения: 5 сентября 2024.
- ↑ 1 2 About the security content of iOS 15.7.7 and iPadOS 15.7.7 (англ.). Apple Support. Дата обращения: 5 сентября 2024.
- ↑ Сведения о проблемах системы безопасности, устраняемых обновлениями iOS 16.6 и iPadOS 16.6 - Служба поддержки Apple (RU) . Apple Support. Дата обращения: 5 сентября 2024.
- ↑ 1 2 About the security content of iOS 15.7.8 and iPadOS 15.7.8 (англ.). Apple Support. Дата обращения: 5 сентября 2024.
- ↑ 1 2 Триангуляция: валидаторы, модули и активность после компрометации . securelist.ru (23 октября 2023). Дата обращения: 5 сентября 2024.
- ↑ Как мы получили все этапы «Операции Триангуляция» . securelist.ru (3 ноября 2023). Дата обращения: 5 сентября 2024.
- ↑ 1 2 Kaspersky Tech Operation Triangulation: Сonnecting the Dots | Igor Kuznetsov (25 января 2024). Дата обращения: 5 сентября 2024.
- ↑ Операция «Триангуляция»: раскрыт самый сложный механизм взлома Apple iPhone за всю историю . 3DNews. Дата обращения: 5 сентября 2024.
- ↑ Колесников, Павел Операция «Триангуляция»: эксперты обнаружили самый изощренный и сложный за все время способ взлома iPhone . Hi-Tech Mail (7 января 2024). Дата обращения: 5 сентября 2024.
- ↑ 1 2 3 Операция “Триангуляция”: последняя (аппаратная) загадка . securelist.ru (27 декабря 2023). Дата обращения: 5 сентября 2024.
- ↑ oct0xor; kucher1n; bzvr_ Operation Triangulation (англ.) (27 декабря 2023). Дата обращения: 5 сентября 2024.
- ↑ 1 2 Hector Martin (@marcan@treehouse.systems) . Treehouse Mastodon (28 декабря 2023). Дата обращения: 5 сентября 2024.
- ↑ Mascellino, Alessandro Operation Triangulation iOS Attack Details Revealed (брит. англ.). Infosecurity Magazine (26 октября 2023). Дата обращения: 5 сентября 2024.
- ↑ iPhone Triangulation attack abused undocumented hardware feature (амер. англ.). BleepingComputer. Дата обращения: 5 сентября 2024.
- ↑ 1 2 3 4 Goodin, Dan 4-year campaign backdoored iPhones using possibly the most advanced exploit ever (амер. англ.). Ars Technica (27 декабря 2023). Дата обращения: 5 сентября 2024.
- ↑ Triangulation: Trojan for iOS (амер. англ.). kaspersky.com (1 июня 2023). Дата обращения: 5 сентября 2024.
- ↑ Tool to find the Operation Triangulation traces (амер. англ.). securelist.com (2 июня 2023). Дата обращения: 5 сентября 2024.
- ↑ Releases · KasperskyLab/triangle_check (англ.). GitHub. Дата обращения: 5 сентября 2024.
- ↑ Подробная информация :: Федеральная Служба Безопасности . ФСБ - сайт. Дата обращения: 5 сентября 2024.
- ↑ ФСБ обвинила Apple в слежке за россиянами. Чьи iPhone под угрозой и правда ли данные с устройств передаются разведке США . Lenta.RU. Дата обращения: 5 сентября 2024.
- ↑ Russia says US hacked thousands of Apple phones in spy plot (англ.). Reuters.
- ↑ 1 2 Apple denies surveillance claims made by Russia's FSB (англ.). Reuters.
- ↑ Goodin, Dan “Clickless” iOS exploits infect Kaspersky iPhones with never-before-seen malware (амер. англ.). Ars Technica (1 июня 2023). Дата обращения: 5 сентября 2024.
- ↑ Menn, Joseph (2023-06-02). "Russia says thousands of iPhones were hacked, blames U.S. and Apple". Washington Post (англ.). 0190-8286. Дата обращения: 5 сентября 2024.
- ↑ РАЗВЕДЫВАТЕЛЬНАЯ АКЦИЯ АМЕРИКАНСКИХ СПЕЦСЛУЖБ С ИСПОЛЬЗОВАНИЕМ МОБИЛЬНЫХ УСТРОЙСТВ ФИРМЫ APPLE . НКЦКИ.
- ↑ НКЦКИ: спецслужбы США могут получить полный доступ к устройствам Apple российских пользователей | Новости ИБ . Портал информационной безопасности. Дата обращения: 5 сентября 2024.
- ↑ About the security content of iOS 16.4 and iPadOS 16.4 (англ.). Apple Support. Дата обращения: 5 сентября 2024.
- ↑ About the security content of iOS 16.5.1 and iPadOS 16.5.1 (англ.). Apple Support. Дата обращения: 5 сентября 2024.
- ↑ About the security content of iOS 16.6 and iPadOS 16.6 (англ.). Apple Support. Дата обращения: 5 сентября 2024.
- ↑ Waichulis, Arin Apple refused to pay bounty to Kaspersky for uncovering vulnerability in 'Operation Triangulation' (амер. англ.). 9to5Mac (9 июня 2024). Дата обращения: 5 сентября 2024.
- ↑ Смартфоны Apple запретили использовать в служебных целях. Какая мобильная экосистема может прийти им на смену? Российская газета (13 августа 2023). Дата обращения: 5 сентября 2024.
- ↑ Горяинов, Никита В каких государственных компаниях России запретили iPhone. Почему так вышло . iPhones.ru (1 мая 2024). Дата обращения: 5 сентября 2024.
- ↑ Apple faces partial iPhone ban in China (англ.). euronews (7 сентября 2023). Дата обращения: 5 сентября 2024.
- ↑ Joo-young, Hwang [Exclusive] Korean military set to ban iPhones over 'security' concerns (англ.). The Korea Herald (23 апреля 2024). Дата обращения: 5 сентября 2024.
- ↑ News, The Hacker Most Sophisticated iPhone Hack Ever Exploited Apple's Hidden Hardware Feature (англ.). The Hacker News. Дата обращения: 5 сентября 2024.
- ↑ "Triangulation" iPhone spyware used Apple hardware exploits unknown to almost everyone (амер. англ.). TechSpot (30 декабря 2023). Дата обращения: 5 сентября 2024.
- ↑ Kaspersky burns 11,000-line “NSA” exploit (англ.). The Stack (4 января 2024). Дата обращения: 5 сентября 2024.
- ↑ New iPhone Exploit Uses Four Zero-Days - Schneier on Security . www.schneier.com. Дата обращения: 5 сентября 2024.
- ↑ Olinga, Luc Elon Musk Flags Sophisticated Attack Against Apple's iPhones (амер. англ.). TheStreet (2 июня 2023). Дата обращения: 5 сентября 2024.
- ↑ Elon Musk. Twitter Post (англ.). X (ex-Twitter).