Операция «Триангуляция»

Материал из Википедии — свободной энциклопедии
Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии, проверенной 10 ноября 2024 года; проверки требуют 12 правок.
Перейти к навигации Перейти к поиску

Операция «Триангуляция» — это целевая кибератака на iOS-устройства с применением цепочки четырёх уязвимостей нулевого дня. Впервые обнародована в июне 2023 года. Отличается беспрецедентной для iOS-атак технической сложностью. Количество жертв атаки оценивается в несколько тысяч человек.

Цели атаки

[править | править код]

Целью атаки являлся шпионаж: извлечение переписок и паролей с устройства, запись разговоров, геолокации. Точное число жертв установить невозможно из-за высокой скрытности организаторов атаки. Некоторые источники оценивают возможное число жертв атаки в несколько тысяч человек, называя среди них коммерческие, государственные и дипломатические организации в РФ и её представительствах за рубежом[1].

Ход событий

[править | править код]

1 июня 2023 «Лаборатория Касперского» заявляет об обнаружении следов новой вредоносной программы на iOS-устройствах своих сотрудников. Выявлено, что программа предназначена для шпионажа и отличается высокой скрытностью, обнаружить её удалось только по необычному обмену данными с зараженных iPhone. По итогам расследования выявлено, что следы первых заражений датируются 2019 годом. Атака получает название «Операция „Триангуляция“»[2].

Практически сразу опубликована утилита triangle_check. Она позволяет пользователям проверить свои устройства iOS на компрометацию, чтобы понять, действительно ли они стали жертвами атаки[3][4][5].

21 июня 2023 «Лаборатория Касперского» публикует исследования имплантата TriangleDB, применяемого в атаке[6][7].

В тот же день компания Apple выпускает обновления iOS 15.х и 16.х, в которых устранены две уязвимости, применяемые в атаке: CVE-2023-32434 в ядре iOS и CVE-2023-32435 в механизме отображения веб-страниц WebKit. Считается, что эксплуатация этих программных ошибок позволяла незаметно заражать iPhone в обход систем безопасности iOS[8][9].

24 июля 2023 Apple выпускает обновления iOS 15.x и 16.x, устраняя уязвимости CVE-2023-38606 в ядре iOS и CVE-2023-41990 в механизме работы со шрифтами FontParser. Эти уязвимости также применялись в цепочке заражения операции «Триангуляция»[10][11].

23 октября 2023 «Лаборатория Касперского» публикует данные о многоступенчатой фильтрации потенциальных жертв авторами атаки. Эта фильтрация позволяла атакующим заражать только нужных им жертв и скрываться от безопасников.[12]

26 октября 2023 на Security Analyst Summit представлен доклад о процессе исследования операции «Триангуляция» и попытках получить все компоненты цепочки заражения[13][14].

27 декабря 2023 на Сhaos Сommunication Сongress представлен доклад о полной цепочке атаки и четырёх уязвимостях, использованных в атаке, включая недокументированные функции процессоров Apple[15][16][17][18].

28 декабря 2023 хакер Эктор Мартин[англ.] узнаёт о применении недокументированных функций процессоров Apple в операции «Триангуляция» и делится известной ему информацией о возможном механизме их работы и предназначении[19].

Технические особенности

[править | править код]

Операция «Триангуляция» отличается беспрецедентной для iOS-атак технической сложностью: цепочка заражения состоит из 14 шагов, в процессе использовались 4 уязвимости нулевого дня, а также недокументированные аппаратные особенности процессоров Apple. Все известные атаки проводились на iOS-версии до 15.7.х, однако применяемые техники работоспособны вплоть до iOS 16.2[20][2][17].

При получении специально сконструированного невидимого владельцу сообщения iMessage на смартфоне iPhone срабатывал вредоносный код, который загружал дополнительные компоненты с командных серверов операции «Триангуляция», получал повышенные привилегии на устройстве и разворачивал в памяти смартфона шпионское ПО с широким доступом к содержимому и функциям устройства.

Заражение устройства

[править | править код]

Изначальное заражение осуществлялось через невидимое сообщение iMessage. Вредоносное вложение в iMessage, имеющее формат .watchface (дизайн экрана смарт-часов, фактически ZIP-файл с вложенным PDF), незаметно открывало Safari в фоновом режиме, а в браузере — веб-страницу, откуда загружались следующие компоненты цепочки заражения.

Веб-страница содержала скрипт проверки (валидатор), анализирующий параметры заражаемого смартфона и принимающий решение, продолжать ли заражение. Для того, чтобы уникально идентифицировать жертв, использовалась технология canvas fingerprinting, рисующая на веб-странице треугольник, давший название операции (от англ. triange — треугольник)[12].

На этих этапах атаки эксплуатировались уязвимости нулевого дня CVE-2023-41990, CVE-2023-32434 и CVE-2023-38606.

На начальном этапе взлома на устройство жертвы через iMessage поступало сообщение с вредоносными данными, эксплуатирующими уязвимость CVE-2023-41990 в реализации Apple обработки шрифтов TrueType. Данная уязвимость позволяла удалённо выполнять код с минимальными привилегиями и переходить к следующему этапу, целью которого был доступ к ядру iOS. Эксплуатация уязвимости CVE-2023-32434 открывала доступ на чтение и запись ко всей физической памяти устройства, а CVE-2023-38606 через секретные регистры MMIO позволяла обходить механизм Page Protection Layer (PPL) после компрометации ядра. На этом этапе запускался процесс IMAgent с полезной нагрузкой, стирающей следы атаки с устройства[21].

После прохождения проверки скрипт на веб-странице параллельно эксплуатирует уязвимость CVE-2023-32435 в браузере Safari, связанную с выполнением шелл-кода, и загружает в память устройства бинарный код(второй эксплойт ядра, основанный на уязвимостях CVE-2023-32434 и CVE-2023-38606)[21], который получает привилегии root и проводит более детальную проверку смартфона на соответствие интересам атакующих. Этот бинарный валидатор также удаляет следы полученного iMessage и загружает основной вредоносный имплантат TriangleDB.

Вредоносное ПО работает только в памяти смартфона, поэтому после его перезагрузки оно стирается. В этом случае атакующие заново присылают iMessage и заражают жертву.

Недокументированная функция Apple

[править | править код]

Чтобы обойти аппаратную защиту памяти, применяемую в последних поколениях процессоров Apple (A12-A16), в эксплойте для уязвимости ядра CVE-2023-38606 были применены недокументированные аппаратные особенности процессоров[22].

Уязвимость основана на незадокументированной аппаратной функции, благодаря которой злоумышленники обходили расширенную аппаратную защиту памяти. Этот механизм защищал целостность устройства даже при доступе злоумышленника к ядру системы. Если на других платформах хакер в этот момент получал полный контроль над системой, то у Apple даже при получении доступа к ядру не появлялась возможность изменения его кода, получения конфиденциальных данных ядра или внедрения вредоносного кода в любые процессы. Уязвимость CVE-2023-38606 позволила злоумышленникам записывать данные, адреса назначения и хеши в аппаратные регистры MMIO чипа, которые не описаны в документации и не использовались приложениями на базе iOS или самой операционной системой iOS, система о них «не знала». С ней хакеры получили возможность обхода защиты, которая присутствует также в процессорах Apple M1 и M2, в результате код эксплойта способен изменять аппаратно защищенную область памяти ядра iOS. Исследователи «Лаборатории Касперского» предполагают, что этот механизм был создан для отладки самого процессора[17][21].

По словам некоторых экспертов, «очень немногие, или вообще никто за пределами Apple и поставщиков чипов, таких как ARM Holdings» могли знать об этой функции[23].

Эктор Мартин описал возможный механизм эксплуатации, основанный на прямой записи в кэш памяти, что позволяет в ряде случаев обойти механизмы её защиты[19].

Функции имплантата TriangleDB

[править | править код]

Вредоносное ПО TriangleDB имеет модульную структуру, поэтому его функции могут быть расширены загрузкой дополнительных модулей с сервера.

Базовая версия способна загружать на сервер злоумышленников файлы с устройства, извлекать данные из связки ключей, отслеживать геолокацию жертвы, модифицировать файлы и процессы на смартфоне[7].

Известные дополнительные модули поддерживают продолжительную звукозапись с микрофона (в том числе в авиарежиме), выполнение запросов к базам данных, сохраненных на устройстве, кражу чатов Whatsapp и Telegram[23][14].

Способы обнаружения и удаления

[править | править код]

Блокировка обновлений

Характерным проявлением заражения смартфона вредоносным ПО операции «Триангуляция» была невозможность обновить iOS до более новой версии. Эта особенность проявлялась не на всех зараженных устройствах[24].

Следы заражения можно обнаружить в служебных файлах на iPhone. Поскольку на самом iOS-устройстве они недоступны, на компьютер делается резервная копия iPhone через iTunes и дальше проводится её анализ. Для анализа применяется утилита Triangle_check[3][25][26].

Анализ сетевых соединений

Вредоносный код операции «Триангуляция» устанавливает связь с серверами атакующих, их список был выложен в публичный доступ[2].

Удаление заражения

Для полностью скомпрометированных устройств исследователи рекомендуют следующую последовательность действий, чтобы предотвратить повторное заражение[2]:

  • сброс до заводских настроек,
  • отключение iMessage,
  • обновление iOS до более свежей версии.

Происхождение атаки

[править | править код]

Лаборатория Касперского не делала официальных заявлений о происхождении атаки и не приписывала её какой-либо хакерской группировке или стране.

Однако 1 июня 2023 ФСБ выступило с заявлением об обнаружении вредоносного программного обеспечения для мобильных телефонов Apple, использующего «предусмотренные производителем программные уязвимости». Также ФСБ прямо обвинила Apple в сотрудничестве с АНБ США. В том же заявлении указано, что заражению подверглись несколько тысяч телефонных аппаратов, в том числе за пределами России: в странах блока НАТО, странах постсоветского пространства, Израиля, САР и КНР[27][28][29].

Apple в тот же день выпустила заявление, в котором отрицала эти обвинения[30].

ФСБ и «Лаборатория Касперского» сделали независимые друг от друга заявления. Однако некоторые эксперты считают, что речь в обоих случаях идет именно об операции «Триангуляция»[31][32][33][34].

Последствия

[править | править код]

Apple публично опровергла обвинения в сотрудничестве со спецслужбами для внедрения бэкдоров[30].

Компания выпустила несколько пакетов обновлений, которые устраняют уязвимости в iOS, примененные в операции «Триангуляция»[35][36][9][37][11].

Apple отказалась выплачивать исследователям «Лаборатории Касперского» премию за нахождение уязвимостей в рамках своей программы Bug bounty[38].

В июле-августе 2023 года стало известно, что использование смартфонов и планшетов Apple в служебных целях запретили в ряде российских государственных и коммерческих организаций: Минцифры, Минпромторг, Минтранс, Федеральная налоговая служба, РЖД, Ростех. Позднее в 2023 году такое же решение приняли Центробанк и МЧС[39][40].

В сентябре 2023 года стало известно, что правительство Китая приняло решение о расширении запрета на пользование iPhone. Он включает не только сотрудников государственных учреждений, но и подконтрольные государству компании[41].

В 2024 году запрет iPhone по соображениям безопасности был анонсировал Минобороны Южной Кореи, при этом телефоны на базе Android не запрещены[42].

Оценки

[править | править код]

Код для эксплуатации уязвимостей (эксплойт) в операции «Триангуляция» был назван экспертами самым сложным в истории[23][43].

Наиболее примечательными особенностями атаки названы знание злоумышленниками недокументированных возможностей чипов Apple и применение четырёх уязвимостей нулевого дня в одной атаке[44][23][45].

Криптограф Брюс Шнаер оценил атаку как «безумно сложную» и исполненную при государственной поддержке.[46]

Сложностью атаки и возможными способами защиты от неё интересовался Илон Маск[47][48].

Примечания

[править | править код]
  1. Apple fixes iPhone software flaws used in widespread hacks of Russians (англ.). Washington Post.
  2. 1 2 3 4 Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства. securelist.ru (1 июня 2023). Дата обращения: 5 сентября 2024.
  3. 1 2 New tool scans iPhones for 'Triangulation' malware infection (амер. англ.). BleepingComputer. Дата обращения: 5 сентября 2024.
  4. Найти “Триангуляцию”: утилита triangle_check. securelist.ru (2 июня 2023). Дата обращения: 5 сентября 2024.
  5. KasperskyLab/triangle_check. — 2024-09-04.
  6. «Операция Триангуляция»: как именно кибершпионы собирали данные с iOS. CNews.ru. Дата обращения: 5 сентября 2024.
  7. 1 2 Анализ TriangleDB, импланта “Операции Триангуляция”. securelist.ru (21 июня 2023). Дата обращения: 5 сентября 2024.
  8. Сведения о проблемах системы безопасности, устраняемых обновлениями iOS 16.5.1 и iPadOS 16.5.1 - Служба поддержки Apple (RU). Apple Support. Дата обращения: 5 сентября 2024.
  9. 1 2 About the security content of iOS 15.7.7 and iPadOS 15.7.7 (англ.). Apple Support. Дата обращения: 5 сентября 2024.
  10. Сведения о проблемах системы безопасности, устраняемых обновлениями iOS 16.6 и iPadOS 16.6 - Служба поддержки Apple (RU). Apple Support. Дата обращения: 5 сентября 2024.
  11. 1 2 About the security content of iOS 15.7.8 and iPadOS 15.7.8 (англ.). Apple Support. Дата обращения: 5 сентября 2024.
  12. 1 2 Триангуляция: валидаторы, модули и активность после компрометации. securelist.ru (23 октября 2023). Дата обращения: 5 сентября 2024.
  13. Как мы получили все этапы «Операции Триангуляция». securelist.ru (3 ноября 2023). Дата обращения: 5 сентября 2024.
  14. 1 2 Kaspersky Tech Operation Triangulation: Сonnecting the Dots | Igor Kuznetsov (25 января 2024). Дата обращения: 5 сентября 2024.
  15. Операция «Триангуляция»: раскрыт самый сложный механизм взлома Apple iPhone за всю историю. 3DNews. Дата обращения: 5 сентября 2024.
  16. Колесников, Павел Операция «Триангуляция»: эксперты обнаружили самый изощренный и сложный за все время способ взлома iPhone. Hi-Tech Mail (7 января 2024). Дата обращения: 5 сентября 2024.
  17. 1 2 3 Операция “Триангуляция”: последняя (аппаратная) загадка. securelist.ru (27 декабря 2023). Дата обращения: 5 сентября 2024.
  18. oct0xor; kucher1n; bzvr_ Operation Triangulation (англ.) (27 декабря 2023). Дата обращения: 5 сентября 2024.
  19. 1 2 Hector Martin (@marcan@treehouse.systems). Treehouse Mastodon (28 декабря 2023). Дата обращения: 5 сентября 2024.
  20. Mascellino, Alessandro Operation Triangulation iOS Attack Details Revealed (брит. англ.). Infosecurity Magazine (26 октября 2023). Дата обращения: 5 сентября 2024.
  21. 1 2 3 Операция «Триангуляция»: раскрыт самый сложный механизм взлома Apple iPhone за всю историю. 3D News. Дата обращения: 24 ноября 2024. Архивировано 28 декабря 2023 года.
  22. iPhone Triangulation attack abused undocumented hardware feature (амер. англ.). BleepingComputer. Дата обращения: 5 сентября 2024.
  23. 1 2 3 4 Goodin, Dan 4-year campaign backdoored iPhones using possibly the most advanced exploit ever (амер. англ.). Ars Technica (27 декабря 2023). Дата обращения: 5 сентября 2024.
  24. Triangulation: Trojan for iOS (амер. англ.). kaspersky.com (1 июня 2023). Дата обращения: 5 сентября 2024.
  25. Tool to find the Operation Triangulation traces (амер. англ.). securelist.com (2 июня 2023). Дата обращения: 5 сентября 2024.
  26. Releases · KasperskyLab/triangle_check (англ.). GitHub. Дата обращения: 5 сентября 2024.
  27. Подробная информация :: Федеральная Служба Безопасности. ФСБ - сайт. Дата обращения: 5 сентября 2024.
  28. ФСБ обвинила Apple в слежке за россиянами. Чьи iPhone под угрозой и правда ли данные с устройств передаются разведке США. Lenta.RU. Дата обращения: 5 сентября 2024.
  29. Russia says US hacked thousands of Apple phones in spy plot (англ.). Reuters.
  30. 1 2 Apple denies surveillance claims made by Russia's FSB (англ.). Reuters.
  31. Goodin, Dan “Clickless” iOS exploits infect Kaspersky iPhones with never-before-seen malware (амер. англ.). Ars Technica (1 июня 2023). Дата обращения: 5 сентября 2024.
  32. Menn, Joseph (2023-06-02). "Russia says thousands of iPhones were hacked, blames U.S. and Apple". Washington Post (англ.). 0190-8286. Дата обращения: 5 сентября 2024.
  33. РАЗВЕДЫВАТЕЛЬНАЯ АКЦИЯ АМЕРИКАНСКИХ СПЕЦСЛУЖБ С ИСПОЛЬЗОВАНИЕМ МОБИЛЬНЫХ УСТРОЙСТВ ФИРМЫ APPLE. НКЦКИ.
  34. НКЦКИ: спецслужбы США могут получить полный доступ к устройствам Apple российских пользователей | Новости ИБ. Портал информационной безопасности. Дата обращения: 5 сентября 2024.
  35. About the security content of iOS 16.4 and iPadOS 16.4 (англ.). Apple Support. Дата обращения: 5 сентября 2024.
  36. About the security content of iOS 16.5.1 and iPadOS 16.5.1 (англ.). Apple Support. Дата обращения: 5 сентября 2024.
  37. About the security content of iOS 16.6 and iPadOS 16.6 (англ.). Apple Support. Дата обращения: 5 сентября 2024.
  38. Waichulis, Arin Apple refused to pay bounty to Kaspersky for uncovering vulnerability in 'Operation Triangulation' (амер. англ.). 9to5Mac (9 июня 2024). Дата обращения: 5 сентября 2024.
  39. Смартфоны Apple запретили использовать в служебных целях. Какая мобильная экосистема может прийти им на смену? Российская газета (13 августа 2023). Дата обращения: 5 сентября 2024.
  40. Горяинов, Никита В каких государственных компаниях России запретили iPhone. Почему так вышло. iPhones.ru (1 мая 2024). Дата обращения: 5 сентября 2024.
  41. Apple faces partial iPhone ban in China (англ.). euronews (7 сентября 2023). Дата обращения: 5 сентября 2024.
  42. Joo-young, Hwang [Exclusive] Korean military set to ban iPhones over 'security' concerns (англ.). The Korea Herald (23 апреля 2024). Дата обращения: 5 сентября 2024.
  43. News, The Hacker Most Sophisticated iPhone Hack Ever Exploited Apple's Hidden Hardware Feature (англ.). The Hacker News. Дата обращения: 5 сентября 2024.
  44. "Triangulation" iPhone spyware used Apple hardware exploits unknown to almost everyone (амер. англ.). TechSpot (30 декабря 2023). Дата обращения: 5 сентября 2024.
  45. Kaspersky burns 11,000-line “NSA” exploit (англ.). The Stack (4 января 2024). Дата обращения: 5 сентября 2024.
  46. New iPhone Exploit Uses Four Zero-Days - Schneier on Security. www.schneier.com. Дата обращения: 5 сентября 2024.
  47. Olinga, Luc Elon Musk Flags Sophisticated Attack Against Apple's iPhones (амер. англ.). TheStreet (2 июня 2023). Дата обращения: 5 сентября 2024.
  48. Elon Musk. Twitter Post (англ.). X (ex-Twitter).
Источник — https://ru.wikipedia.org/ruwiki/w/index.php?title=Операция_«Триангуляция»&oldid=141787590