Разкриха „Триангулация“: най-усъвършенстваният механизъм за хакване на iPhone, разкриван някога
Експерти на Лаборатория Kaspersky показаха отчет по отношение на серията експлойти Triangulation (триангулация) и акцията за хакване на Apple iPhone, основана на нея. Според създателите на отчета, механизмът за хакване може би е най-сложният в историята – той употребява четири затворени сега уязвимости от вида „ нулев ден “. Информацията за една от тях надали би могла да пристигна от различен източник, с изключение на от самата Apple или Arm.
Кампанията е работила в продължение на най-малко 4 години – заразяването е започвало с изпращането на известие в iMessage, след което зловредният програмен продукт се конфигурирал на смарт телефона посредством комплицирана верига от експлойти, без да се изисква каквото и да е деяние от страна на жертвата. Устройствата са били инфектирани с мощен шпионски програмен продукт, кадърен да предава записи от микрофона, фотоси, геолокация и други данни.
Веригата от експлойти употребила уязвимостите CVE-2023-32434, CVE-2023-32435, CVE-2023-3246 и CVE-2023-41990, които понастоящем са посочени като затворени – по-специално с актуализацията iOS 16.2. Тези сериозни уязвимости от вида „ нулев ден “ участваха освен в iPhone, само че и в Mac, iPod, iPad, Apple TV и Apple Watch. Откритите от специалистите на Kaskersky експлойти са били особено проектирани да работят на тези устройства.
CVE-2023-38606 към момента е най-загадъчната от тези уязвимости – тя се основава на недокументирана хардуерна функционалност, която разрешава на атакуващите да заобиколят разширената хардуерна отбрана на паметта. Този механизъм е предопределен да пази целостта на устройството даже откакто нападателят е получил достъп до ядрото на системата – на множеството други платформи хакерът в този сюжет би получил цялостен надзор над системата. При устройствата на Apple обаче, с тази отбрана даже и откакто получат достъп до ядрото, хакерът не може да трансформира кода на ядрото, да получи чувствителни данни за него или да „ инжектира “ злотворен код в който и да е развой. Уязвимост в недокументирана хардуерна функционалност заобикаля тази мощна отбрана, която участва и в процесорите M1 и M2 на Apple.
Изследователите от Kaspersky съумели да научат за загадка хардуерна функционалност след месеци на изследване на инфектирани с „ триангулация “ устройства благодарение на техники за назад инженерство. Докато изследваха MMIO (Memory Mapped Input/Output) – механизма, посредством който устройствата взаимодействат с процесора посредством интерфейс за достъп до паметта, те разпознали няколко адреса, които не бяха разпознати в „ дървото “ на устройствата.
Това е машинночетим набор от хардуер, до който се получава достъп по време на процеса на противоположното инженерство: откакто експертите изследвали изходния код, облиците на ядрото и фърмуера, те не разкрили споменаване на някои MMIO адреси. Благодарение на тази специфичност хакерите са успявали да запишат нужните данни, адреси на дестинации и хешове в хардуерните регистри на чипа, които не са били употребявани от фърмуера, а системата не е „ знаела “ за тях.
Експертите обаче по този начин и не съумели да открият по какъв начин се е появила тази хардуерна функционалност – да вземем за пример тя може да е била употребена от инженерите на Apple или от системата Arm CoreSight за задачите на премахване на неточности и тестване, само че защото функционалността не се употребява от фърмуера, не е ясно по какъв начин хакери са научили за нея и по какъв начин са намерили метод да я употребяват. От Kaspersky също по този начин не знаят на кого да припишат тази комплицирана кибертата. Веригата от експлойти Triangulation има неповторими характерности, които не съответстват с нито една от известните хакерски акции.
В първичния стадий от хакерската офанзива устройството на жертвата получава известие посредством iMessage със злонамерени данни, употребяващи уязвимостта CVE-2023-41990 в реализацията на Apple за обработка на шрифтове TrueType (съответната директива съществува от 90-те години), при което нападателите извършват кода от разстояние с минимални привилегии и минават към идващия стадий, чиято цел е да получат достъп до ядрото на iOS.
Манипулирането на ядрото става благодарение на уязвимостите CVE-2023-42434 и CVE-2023-39606. Използването на първата от тях открива достъп за четене и запис до цялата физическа памет на устройството, а потреблението на втората посредством секрети MMIO регистри разрешава заобикаляне на механизма Page Protection Layer (PPL), откакто ядрото е компрометирано. Тук процесът IMAgent се започва с потребен товар, който изтрива следите от офанзивата от устройството и паралелно с това експлоатира уязвимостта CVE-2023-32435 в браузъра Safari, обвързвана с осъществяване на шел код. След това се започва втори експлойт на ядрото, основан на същите уязвимости CVE-2023-32434 и CVE-2023-38606, с цел да се получи достъп до root, който е нужен за инсталиране на последния потребен товар – шпионски програмен продукт.
„ Вече открихме повече от 30 уязвимости от вида „ нулев ден “ в артикули на Adobe, Apple, Гугъл и Microsoft в действителна среда и уведомихме производителите, само че този случай е най-сложната верига от офанзиви, която сме виждали в миналото. “
заявиха от Лаборатория Kaskersky
