Шпионские атаки Operation Triangulation на устройства iPhone с 2019 года использовали недокументированные возможности чипов Apple для обхода аппаратных средств защиты.
К такому выводу пришли аналитики "Касперского", которые на протяжении последнего года занимались реверс-инжинирингом сложной цепочки атак, пытаясь раскрыть все детали, лежащие в основе кампании, которую они первоначально обнаружили в июне 2023 года.
Обнаружение и использование непонятных аппаратных функций, которые, вероятно, предназначались для отладки и заводского тестирования, для запуска шпионских атак на пользователей iPhone позволяет предположить, что кампанию проводил сложный угрожающий субъект.
Более того, это отличный пример того, почему полагаться на безопасность через неясность и секретность конструкции оборудования или его тестирования - ложная предпосылка.
Операция "Триангуляция
Операция "Триангуляция" - это шпионская кампания, направленная на устройства Apple iPhoneиспользуя серию из четырех уязвимостей нулевого дня. Эти уязвимости объединяются в цепочку и создают эксплойт с нулевым кликом, который позволяет злоумышленникам повысить привилегии и выполнить удаленное выполнение кода.
Четыре уязвимости, составляющие сложную цепочку эксплойтов и работающие на всех версиях iOS вплоть до iOS 16.2, таковы:
Атаки начинаются с отправки вредоносного вложения в iMessage, а вся цепочка является zero-click, то есть не требует взаимодействия с пользователем и не генерирует никаких заметных признаков или следов.
Касперский обнаружил атаку в своей собственной сети, а российская разведка (ФСБ) немедленно обвинила Apple в предоставлении АНБ "черного хода" против сотрудников российских государственных учреждений и посольств.
До сих пор происхождение атак остается неизвестным, и никаких доказательств этих обвинений нет.
Apple исправила ошибку два признанных на тот момент дефекта нулевого дня (CVE-2023-32434 и CVE-2023-32435) 21 июня 2023 года с выпуском iOS/iPadOS 16.5.1 и iOS/iPadOS 15.7.7.
Высокотехнологичные атаки
Из перечисленных выше дефектов наиболее уязвимым является CVE-2023-38606, который был устранен 24 июля 2023 года с выпуском iOS/iPadOS 16.6Это наиболее интригующее для аналитиков "Касперского" решение.
Эксплуатация дефекта позволяет обойти аппаратную защиту чипов Apple, которая не позволяет злоумышленникам получить полный контроль над устройством при получении доступа к памяти ядра на чтение и запись, что было достигнуто с помощью отдельного дефекта CVE-2023-32434.
В техническом описании, посвященном глубокому погружению, Касперский объясняет, что CVE-2023-38606 нацелена на неизвестные регистры MMIO (memory-mapped I/O) в процессорах Apple A12-A16 Bionic, вероятно, связанные с GPU-сопроцессором чипа, которые не указаны в DeviceTree.
Операция Triangulation использует эти регистры для манипулирования аппаратными функциями и управления прямым доступом к памяти во время атаки.
"Если попытаться описать эту функцию и то, как злоумышленники воспользовались ею, то все сводится к следующему: они могут записывать данные по определенному физическому адресу в обход аппаратной защиты памяти, записывая данные, адрес назначения и хэш данных в неизвестные аппаратные регистры чипа, не используемые прошивкой", - объясняет Отчет Касперского.
Касперский предполагает, что включение этой недокументированной аппаратной функции в готовую потребительскую версию iPhone либо является ошибкой, либо было оставлено для помощи инженерам Apple в отладке и тестировании.
Apple устранила недостаток, обновив дерево устройств, чтобы ограничить сопоставление физических адресов.
Однако как злоумышленники узнали о таком малоизвестном механизме, который можно использовать, остается неизвестным.