Несмотря на все усилия Apple, Google, Microsoft и других компаний, устройства, которыми мы пользуемся каждый день, имеют серьезные проблемы с безопасностью. Большинство людей уверены, что "белые хакеры" заметят и нейтрализуют эти уязвимости раньше, чем ими воспользуются киберпреступники. Однако в реальности все немного сложнее, и в рамках целенаправленной кампании по распространению вредоносного ПО в России этого не произошло. Международная компания «Лаборатория Касперского» сообщила, что большинство айфонов, принадлежащих ее сотрудникам, были взломаны неизвестными злоумышленниками с помощью атаки, которую она назвала "Триангуляция". Что интересно, эта хакерская атака стала возможной только благодаря таинственным, недокументированным особенностям процессоров Apple на базе ARM.
Специалисты «Лаборатории Касперского» обнаружили "Триангуляцию" лишь несколько месяцев назад, но они подозревают, что хакерские атаки осуществляются уже около четырех лет. За это время злоумышленники взломали как минимум несколько десятков телефонов, но их могло быть гораздо больше. С помощью этого метода злоумышленники получают полный доступ к системе телефона, что позволяет им красть информацию и удаленный запуск вредоносного кода. Компания предоставила подробную информацию о всех процессах, файлах и поведении системы, которые могут подтвердить заражение с помощью "Триангуляции", но стоит отметить, что даже опытные специалисты по кибербезопасности не смогли обнаружить признаки этого продвинутого вредоносного ПО.
"Триангуляция" основана на чрезвычайно сложной цепочке заражения с четырьмя эксплойтами нулевого дня. Заражение начиналось с открытия вредоносного PDF-файла, который использует эксплойт (CVE-2023-41990) в шрифте TrueType для выполнения ограниченного кода. Также используется уязвимость в памяти (CVE-2023-32434) и уязвимость Safari для запуска исполнения кода скриптов на стороне атакуемого устройства (CVE-2023-32435). Но ничто из этого списка не смогло бы обойти защиту Apple, если бы не CVE-2023-38606.
Цепочка заражения "Триангуляцией". Автор: Касперский
Последняя уязвимость атакует "секретный" компонент Apple. "Лаборатории Касперского" потребовались месяцы кропотливой работы, чтобы понять принцип работы "Триангуляции", поскольку вредоносное ПО появлялось несмотря на аппаратные средства защиты памяти от Apple. Предположительно, эти средства должны были блокировать доступ вредоносного ПО к используемой памяти и ядру, что помогло бы остановить заражение на ранней стадии. Однако "Триангуляция" смогла обойти эту защиту и получить полный контроль над телефоном, получив доступ к "секретным" входам/выходам, отображаемым в памяти (MMIO). Специалисты "Касперского" предполагают, что Apple могла использовать эту систему для отладки во время проектирования или уже во время сборки на заводе, но она также дала "Триангуляции" возможность обойти систему безопасности Apple. Специалисты не исключают, что эта функция была включена по ошибке.
Поскольку Apple не была осведомлена об этих уязвимостях, злоумышленники смогли их использовать для получения низкоуровневого доступа к устройствам компании. И это не только iPhone; "Касперский" сообщает, что обнаружил версии "Триангуляции", предназначенные для iPad, Apple TV, Apple Watch и Mac. Атака такой сложности наводит на мысль о государственных структурах, у которых хватило бы ресурсов для выявления и использования таких уязвимостей в системе, как "Триангуляция".
Злоумышленники проявляли осторожность и использовали "Триангуляцию" на протяжении нескольких лет, прежде чем "Лаборатория Касперского" выявила ее происходящее. После обнаружения этой уязвимости специалистами по кибербезопасности, Российский национальный координационный центр по компьютерным инцидентам возложил ответственность на Агентство национальной безопасности США, однако пока ещё не предоставил доказательств своего утверждения. Российские специалисты заявили, что "Триангуляция" была обнаружена на тысячах iPhone дипломатических работников и персонала посольств.
Кто бы ни стоял за "Триангуляцией", теперь им придётся искать новый инструмент атаки. Apple исправила уязвимости в последних обновлениях программного обеспечения. Однако теперь, когда эксплойты стали достоянием общественности, их могут попытаться использовать и другие хакеры. Постоянно обновляйте свои устройства, и "Триангуляция" не будет вам страшна.
