Операция «Триангуляция» (Khyjgenx «Mjnguirlxenx»)

Перейти к навигации Перейти к поиску

Операция «Триангуляция» — это целевая кибератака на iOS-устройства с применением цепочки четырёх уязвимостей нулевого дня. Впервые обнародована в июне 2023 года. Отличается беспрецедентной для iOS-атак технической сложностью. Количество жертв атаки оценивается в несколько тысяч человек.

Цели атаки

[править | править код]

Целью атаки являлся шпионаж: извлечение переписок и паролей с устройства, запись разговоров, геолокации. Точное число жертв установить невозможно из-за высокой скрытности организаторов атаки. Некоторые источники оценивают возможное число жертв атаки в несколько тысяч человек, называя среди них коммерческие, государственные и дипломатические организации в РФ и её представительствах за рубежом.[1]

Ход событий

[править | править код]

1 июня 2023 «Лаборатория Касперского» заявляет об обнаружении следов новой вредоносной программы на iOS-устройствах своих сотрудников. Выявлено, что программа предназначена для шпионажа и отличается высокой скрытностью, обнаружить её удалось только по необычному обмену данными с зараженных iPhone. По итогам расследования выявлено, что следы первых заражений датируются 2019 годом. Атака получает название «Операция „Триангуляция“».[2]

Практически сразу опубликована утилита triangle_check. Она позволяет пользователям проверить свои устройства iOS на компрометацию, чтобы понять, действительно ли они стали жертвами атаки.[3][4][5]

21 июня 2023 «Лаборатория Касперского» публикует исследования имплантата TriangleDB, применяемого в атаке.[6][7]

В тот же день компания Apple выпускает обновления iOS 15.х и 16.х, в которых устранены две уязвимости, применяемые в атаке: CVE-2023-32434 в ядре iOS и CVE-2023-32435 в механизме отображения веб-страниц WebKit. Считается, что эксплуатация этих программных ошибок позволяла незаметно заражать iPhone в обход систем безопасности iOS.[8][9]

24 июля 2023 Apple выпускает обновления iOS 15.x и 16.x, устраняя уязвимости CVE-2023-38606 в ядре iOS и CVE-2023-41990 в механизме работы со шрифтами FontParser. Эти уязвимости также применялись в цепочке заражения операции «Триангуляция».[10][11]

23 октября 2023 Лаборатория Касперского" публикует данные о многоступенчатой фильтрации потенциальных жертв авторами атаки. Эта фильтрация позволяла атакующим заражать только нужных им жертв и скрываться от безопасников.[12]

26 октября 2023 на Security Analyst Summit представлен доклад о процессе исследования операции «Триангуляция» и попытках получить все компоненты цепочки заражения.[13][14]

27 декабря 2023 на Сhaos Сommunication Сongress представлен доклад о полной цепочке атаки и четырёх уязвимостях, использованных в атаке, включая недокументированные функции процессоров Apple.[15][16][17][18]

28 декабря 2023 хакер Эктор Мартин[англ.] узнаёт о применении недокументированных функций процессоров Apple в операции «Триангуляция» и делится известной ему информацией о возможном механизме их работы и предназначении.[19]

Технические особенности

[править | править код]

Операция «Триангуляция» отличается беспрецедентной для iOS-атак технической сложностью: цепочка заражения состоит из 14 шагов, в процессе использовались 4 уязвимости нулевого дня, а также недокументированные аппаратные особенности процессоров Apple. Все известные атаки проводились на iOS-версии до 15.7.х, однако применяемые техники работоспособны вплоть до iOS 16.2.[20][2][17]

При получении специально сконструированного невидимого владельцу сообщения iMessage на смартфоне iPhone срабатывал вредоносный код, который загружал дополнительные компоненты с командных серверов операции «триангуляция», получал повышенные привилегии на устройстве и разворачивал в памяти смартфона шпионское ПО с широким доступом к содержимому и функциям устройства.

Заражение устройства

[править | править код]

Изначальное заражение осуществлялось через невидимое сообщение iMessage. Вредоносное вложение в iMessage, имеющее формат .watchface (дизайн экрана смарт-часов, фактически ZIP-файл с вложенным PDF), незаметно открывало Safari в фоновом режиме, а в браузере — веб-страницу, откуда загружались следующие компоненты цепочки заражения.

Веб-страница содержала скрипт проверки (валидатор), анализирующий параметры заражаемого смартфона и принимающий решение, продолжать ли заражение. Для того, чтобы уникально идентифицировать жертв, использовалась технология canvas fingerprinting, рисующая на веб-странице треугольник, давший название операции (от англ. triange — треугольник).[12]

На этих этапах атаки эксплуатировались уязвимости нулевого дня CVE-2023-41990, CVE-2023-32434 и CVE-2023-38606.

После прохождения проверки скрипт на веб-странице дополнительно эксплуатирует уязвимость CVE-2023-32435 и загружает в память устройства бинарный код, который получает привилегии root и проводит более детальную проверку смартфона на соответствие интересам атакующих. Этот бинарный валидатор также удаляет следы полученного iMessage и загружает основной вредоносный имплантат TriangleDB.

Вредоносное ПО работает только в памяти смартфона, поэтому после его перезагрузки оно стирается. Атакующие в таком случае заново присылают iMessage и заражают жертву заново.

Недокументированная функция Apple

[править | править код]

Чтобы обойти аппаратную защиту памяти, применяемую в последних поколениях процессоров Apple (A12-A16), в эксплойте для уязвимости ядра CVE-2023-38606 были применены недокументированные аппаратные особенности процессоров.[21]

Проводилась запись в регистры MMIO, которые не описаны в документации, а также не используются приложениями на базе iOS или самой операционной системой iOS. В результате код эксплойта способен изменять аппаратно защищенную область памяти ядра iOS. Исследователи «Лаборатории Касперского» предполагают, что этот механизм был создан для отладки самого процессора.[17]

По словам некоторых экспертов, «очень немногие, или вообще никто за пределами Apple и поставщиков чипов, таких как ARM Holdings» могли знать об этой функции.[22]

Эктор Мартин описал возможный механизм эксплуатации, основанный на прямой записи в кэш памяти, что позволяет в ряде случаев обойти механизмы её защиты.[19]

Функции имплантата TriangleDB

[править | править код]

Вредоносное ПО TriangleDB имеет модульную структуру, поэтому его функции могут быть расширены загрузкой дополнительных модулей с сервера.

Базовая версия способна загружать на сервер злоумышленников файлы с устройства, извлекать данные из связки ключей, отслеживать геолокацию жертвы, модифицировать файлы и процессы на смартфоне.[7]

Известные дополнительные модули поддерживают продолжительную звукозапись с микрофона (в том числе в авиарежиме), выполнение запросов к базам данных, сохраненных на устройстве, кражу чатов Whatsapp и Telegram.[22][14]

Способы обнаружения и удаления

[править | править код]

Блокировка обновлений

Характерным проявлением заражения смартфона вредоносным ПО операции «Триангуляция» была невозможность обновить iOS до более новой версии. Эта особенность проявлялась не на всех зараженных устройствах.[23]

Следы заражения можно обнаружить в служебных файлах на iPhone. Поскольку на самом iOS-устройстве они недоступны, на компьютер делается резервная копия iPhone через iTunes и дальше проводится её анализ. Для анализа применяется утилита Triangle_check[3][24][25]

Анализ сетевых соединений

Вредоносный код "Операции «Триангуляция» устанавливает связь с серверами атакующих, их список был выложен в публичный доступ.[2]

Удаление заражения

Для полностью скомпрометированных устройств исследователи рекомендуют следующую последовательность действий, чтобы предотвратить повторное заражение:[2]

  • сброс до заводских настроек
  • отключение iMessage
  • обновление iOS до более свежей версии.

Происхождение атаки

[править | править код]

Лаборатория Касперского не делала официальных заявлений о происхождении атаки и не приписывала её какой-либо хакерской группировке или стране.

Однако 1 июня 2023 ФСБ выступило с заявлением об обнаружении вредоносного программного обеспечения для мобильных телефонов Apple, использующего «предусмотренные производителем программные уязвимости». Также ФСБ прямо обвинила Apple в сотрудничестве с АНБ США. В том же заявлении указано, что заражению подверглись несколько тысяч телефонных аппаратов, в том числе за пределами России: в странах блока НАТО, странах постсоветского пространства, Израиля, САР и КНР.[26][27][28]

Apple в тот же день выпустила заявление, в котором отрицала эти обвинения.[29]

ФСБ и «Лаборатория Касперского» сделали независимые друг от друга заявления. Однако некоторые эксперты считают, что речь в обоих случаях идет именно об операции «Триангуляция».[30][31][32][33]

Последствия

[править | править код]

Apple публично опровергла обвинения в сотрудничестве со спецслужбами для внедрения бэкдоров.[29]

Компания выпустила несколько пакетов обновлений, которые устраняют уязвимости в iOS, примененные в операции «Триангуляция».[34][35][9][36][11]

Apple отказалась выплачивать исследователям «Лаборатории Касперского» премию за нахождение уязвимостей в рамках своей программы Bug bounty.[37]

В июле-августе 2023 года стало известно, что использование смартфонов и планшетов Apple в служебных целях запретили в ряде российских государственных и коммерческих организаций: Минцифры, Минпромторг, Минтранс, Федеральная налоговая служба, РЖД, Ростех. Позднее в 2023 году такое же решение приняли Центробанк и МЧС.[38][39]

В сентябре 2023 года стало известно, что правительство Китая приняло решение о расширении запрета на пользование iPhone. Он включает не только сотрудников государственных учреждений, но и подконтрольные государству компании.[40]

В 2024 году запрет iPhone по соображениям безопасности был анонсировал Минобороны Южной Кореи, при этом телефоны на базе Android не запрещены.[41]

Оценки

[править | править код]

Код для эксплуатации уязвимостей (эксплойт) в операции «Триангуляция» был назван экспертами самым сложным в истории.[22][42]

Наиболее примечательными особенностями атаки названы знание злоумышленниками недокументированных возможностей чипов Apple и применение четырёх уязвимостей нулевого дня в одной атаке.[43][22][44]

Криптограф Брюс Шнаер оценил атаку как «безумно сложную» и исполненную при государственной поддержке.[45]

Сложностью атаки и возможными способами защиты от неё интересовался Илон Маск[46][47]

Примечания

[править | править код]
  1. Apple fixes iPhone software flaws used in widespread hacks of Russians (англ.). Washington Post.
  2. 1 2 3 4 Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства. securelist.ru (1 июня 2023). Дата обращения: 5 сентября 2024.
  3. 1 2 New tool scans iPhones for 'Triangulation' malware infection (амер. англ.). BleepingComputer. Дата обращения: 5 сентября 2024.
  4. Найти “Триангуляцию”: утилита triangle_check. securelist.ru (2 июня 2023). Дата обращения: 5 сентября 2024.
  5. KasperskyLab/triangle_check. — 2024-09-04.
  6. «Операция Триангуляция»: как именно кибершпионы собирали данные с iOS. CNews.ru. Дата обращения: 5 сентября 2024.
  7. 1 2 Анализ TriangleDB, импланта “Операции Триангуляция”. securelist.ru (21 июня 2023). Дата обращения: 5 сентября 2024.
  8. Сведения о проблемах системы безопасности, устраняемых обновлениями iOS 16.5.1 и iPadOS 16.5.1 - Служба поддержки Apple (RU). Apple Support. Дата обращения: 5 сентября 2024.
  9. 1 2 About the security content of iOS 15.7.7 and iPadOS 15.7.7 (англ.). Apple Support. Дата обращения: 5 сентября 2024.
  10. Сведения о проблемах системы безопасности, устраняемых обновлениями iOS 16.6 и iPadOS 16.6 - Служба поддержки Apple (RU). Apple Support. Дата обращения: 5 сентября 2024.
  11. 1 2 About the security content of iOS 15.7.8 and iPadOS 15.7.8 (англ.). Apple Support. Дата обращения: 5 сентября 2024.
  12. 1 2 Триангуляция: валидаторы, модули и активность после компрометации. securelist.ru (23 октября 2023). Дата обращения: 5 сентября 2024.
  13. Как мы получили все этапы «Операции Триангуляция». securelist.ru (3 ноября 2023). Дата обращения: 5 сентября 2024.
  14. 1 2 Kaspersky Tech Operation Triangulation: Сonnecting the Dots | Igor Kuznetsov (25 января 2024). Дата обращения: 5 сентября 2024.
  15. Операция «Триангуляция»: раскрыт самый сложный механизм взлома Apple iPhone за всю историю. 3DNews. Дата обращения: 5 сентября 2024.
  16. Колесников, Павел Операция «Триангуляция»: эксперты обнаружили самый изощренный и сложный за все время способ взлома iPhone. Hi-Tech Mail (7 января 2024). Дата обращения: 5 сентября 2024.
  17. 1 2 3 Операция “Триангуляция”: последняя (аппаратная) загадка. securelist.ru (27 декабря 2023). Дата обращения: 5 сентября 2024.
  18. oct0xor; kucher1n; bzvr_ Operation Triangulation (англ.) (27 декабря 2023). Дата обращения: 5 сентября 2024.
  19. 1 2 Hector Martin (@[email protected]). Treehouse Mastodon (28 декабря 2023). Дата обращения: 5 сентября 2024.
  20. Mascellino, Alessandro Operation Triangulation iOS Attack Details Revealed (брит. англ.). Infosecurity Magazine (26 октября 2023). Дата обращения: 5 сентября 2024.
  21. iPhone Triangulation attack abused undocumented hardware feature (амер. англ.). BleepingComputer. Дата обращения: 5 сентября 2024.
  22. 1 2 3 4 Goodin, Dan 4-year campaign backdoored iPhones using possibly the most advanced exploit ever (амер. англ.). Ars Technica (27 декабря 2023). Дата обращения: 5 сентября 2024.
  23. Triangulation: Trojan for iOS (амер. англ.). kaspersky.com (1 июня 2023). Дата обращения: 5 сентября 2024.
  24. Tool to find the Operation Triangulation traces (амер. англ.). securelist.com (2 июня 2023). Дата обращения: 5 сентября 2024.
  25. Releases · KasperskyLab/triangle_check (англ.). GitHub. Дата обращения: 5 сентября 2024.
  26. Подробная информация :: Федеральная Служба Безопасности. ФСБ - сайт. Дата обращения: 5 сентября 2024.
  27. ФСБ обвинила Apple в слежке за россиянами. Чьи iPhone под угрозой и правда ли данные с устройств передаются разведке США. Lenta.RU. Дата обращения: 5 сентября 2024.
  28. Russia says US hacked thousands of Apple phones in spy plot (англ.). Reuters.
  29. 1 2 Apple denies surveillance claims made by Russia's FSB (англ.). Reuters.
  30. Goodin, Dan “Clickless” iOS exploits infect Kaspersky iPhones with never-before-seen malware (амер. англ.). Ars Technica (1 июня 2023). Дата обращения: 5 сентября 2024.
  31. Menn, Joseph (2023-06-02). "Russia says thousands of iPhones were hacked, blames U.S. and Apple". Washington Post (англ.). 0190-8286. Дата обращения: 5 сентября 2024.
  32. РАЗВЕДЫВАТЕЛЬНАЯ АКЦИЯ АМЕРИКАНСКИХ СПЕЦСЛУЖБ С ИСПОЛЬЗОВАНИЕМ МОБИЛЬНЫХ УСТРОЙСТВ ФИРМЫ APPLE. НКЦКИ.
  33. НКЦКИ: спецслужбы США могут получить полный доступ к устройствам Apple российских пользователей | Новости ИБ. Портал информационной безопасности. Дата обращения: 5 сентября 2024.
  34. About the security content of iOS 16.4 and iPadOS 16.4 (англ.). Apple Support. Дата обращения: 5 сентября 2024.
  35. About the security content of iOS 16.5.1 and iPadOS 16.5.1 (англ.). Apple Support. Дата обращения: 5 сентября 2024.
  36. About the security content of iOS 16.6 and iPadOS 16.6 (англ.). Apple Support. Дата обращения: 5 сентября 2024.
  37. Waichulis, Arin Apple refused to pay bounty to Kaspersky for uncovering vulnerability in 'Operation Triangulation' (амер. англ.). 9to5Mac (9 июня 2024). Дата обращения: 5 сентября 2024.
  38. Смартфоны Apple запретили использовать в служебных целях. Какая мобильная экосистема может прийти им на смену? Российская газета (13 августа 2023). Дата обращения: 5 сентября 2024.
  39. Горяинов, Никита В каких государственных компаниях России запретили iPhone. Почему так вышло. iPhones.ru (1 мая 2024). Дата обращения: 5 сентября 2024.
  40. Apple faces partial iPhone ban in China (англ.). euronews (7 сентября 2023). Дата обращения: 5 сентября 2024.
  41. Joo-young, Hwang [Exclusive] Korean military set to ban iPhones over 'security' concerns (англ.). The Korea Herald (23 апреля 2024). Дата обращения: 5 сентября 2024.
  42. News, The Hacker Most Sophisticated iPhone Hack Ever Exploited Apple's Hidden Hardware Feature (англ.). The Hacker News. Дата обращения: 5 сентября 2024.
  43. "Triangulation" iPhone spyware used Apple hardware exploits unknown to almost everyone (амер. англ.). TechSpot (30 декабря 2023). Дата обращения: 5 сентября 2024.
  44. Kaspersky burns 11,000-line “NSA” exploit (англ.). The Stack (4 января 2024). Дата обращения: 5 сентября 2024.
  45. New iPhone Exploit Uses Four Zero-Days - Schneier on Security. www.schneier.com. Дата обращения: 5 сентября 2024.
  46. Olinga, Luc Elon Musk Flags Sophisticated Attack Against Apple's iPhones (амер. англ.). TheStreet (2 июня 2023). Дата обращения: 5 сентября 2024.
  47. Elon Musk. Twitter Post (англ.). X (ex-Twitter).
Источник — https://ru.wikipedia.org/w/index.php?title=Операция_«Триангуляция»&oldid=141358091