Иногда кажется, что власти США считают собственное население и жителей других стран аквариумными рыбками. Всё дело в том, что время от времени вспыхивают различные скандалы, свидетельствующие о нарушении правовых международных норм со стороны Белого дома. Американцы могут разбомбить одну или несколько стран, занять чужую территорию и много лет выкачивать нефть. Ну или им позволено следить за всем миром при помощи смартфонов. Вот только уже через неделю мировая пресса быстро забывает о таких нелицеприятных фактах. Говорить об этом в приличном обществе не принято, а миллиарды людей просто забывают о том, как ведёт себя самая демократическая страна на планете. Нет ничего удивительного в том, что аналогичным образом действуют крупные американские компании. К примеру, Apple уже не раз уличали в сливе пользовательских данных в адрес силовых ведомств США и Израиля. Несмотря на неопровержимые факты руководство яблочной компании продолжает уверять, что нам всё это приснилось, ведь Apple ведёт прозрачный бизнес и заботится о каждом клиенте.
Вот только память о Pegasus не стереть, а недавно специалисты «Лаборатории Касперского» зафиксировали массовый взлом смартфонов Apple. Представители российской компании опубликовали подробный технический анализ действий кампании, направленных на взлом устройств под операционной системой iOS. Анализ получил название «Операция Триангуляция», что отсылает к одному из ключевых компонентов эксплойта TriangleDB. Что любопытно, сотрудники «Лаборатории Касперского» и сами стали целями взлома, что только увеличило мотивировку экспертов. В итоге было принято решение разобраться в деталях и изучить все инструменты злоумышленников, стоящих за этой операцией. Специалисты компании указывают на то, что атака была проведена силами многофункциональной APT-платформы. Хакеры тщательно маскировали свои действия, а попытка разобраться в произошедшем затянулась на полгода. Первым объектом анализа стал именно компонент TriangleDB, а информация о нём была опубликована в июне 2023 года.
Оказалось, что злоумышленники использовали бескликовый эксплойт для iOS, который эксплуатировал две уязвимости нулевого дня. Проще говоря, подобные уязвимости ещё нигде не были зафиксированы, что повышает их ценность в глазах хакеров и делает трудными целями для экспертов в области безопасности. CVE-2023-32434 и CVE-2023-32435 загружались чрез вредоносные файлы посредством платформы iMessage. Обе позволяли своим владельцам получить полный контроль над устройством и всеми данными пользователя. К примеру, CVE-2023-32434 – это уязвимость ядра iOS, позволяющая выполнить произвольный код. Перед загрузкой TriangleDB вредоносная кампания включала два модуля-валидатора. Один из них представлял собой JavaScript-скрипт, а второй – бинарный файл Mach-O.
Все валидаторы собирали и передавали информацию о заражённом устройстве на главный сервер. Позднее информация использовалась для того, чтобы убедиться, что устройство, на которое загружался TriangleDB, не является исследовательским стендом. Это помогало злоумышленникам сохранить конфиденциальность своих эксплойтов и избежать преследования. Несмотря на это бинарный валидатор всё же раскрыл некоторую информацию о злоумышленниках. Он искал и удалял следы вредоносных сообщений iMessage в различных базах данных, таких как ids-pub-id.db и knowledgeC.db, и это позволило специалистам «Лаборатории Касперского» узнать некоторые email-адреса Apple ID, которые использовали злоумышленники. Большинство из этих адресов относились к доменам outlook.com и gmail.com, а также к некоторым другим. Эти адреса содержали как полные имена, так и псевдонимы. Некоторые из них были ассоциированы с конкретными лицами, но специалисты полагают, что совпадения могут быть ошибочны или сделаны хакерами намеренно. Специалисты «Лаборатории Касперского» выяснили, что бинарный валидатор опасен не только для iOS, но и для устройств на базе macOS. На данный момент атак на подобные устройства не было, но это не означает, что у хакеров нет таких планов.