Четырехлетняя кампания по взлому iPhone с помощью, возможно, самого изощренного эксплойта в истории

https://arstechnica.com/security/2023/12/exploit-used-in-mass-iphone-infection-campaign-targeted-secret-hardware-feature/

"Триангуляция" заразила десятки iPhone, принадлежащих сотрудникам московской компании "Касперский".

В среду исследователи представили новые интригующие данные об атаке, в результате которой за четыре года были взломаны десятки, если не тысячи iPhone, многие из которых принадлежали сотрудникам московской компании по безопасности Касперского. Главное из открытий: неизвестные злоумышленники смогли достичь беспрецедентного уровня доступа, используя уязвимость в недокументированной аппаратной функции, о которой мало кто знал за пределами Apple и поставщиков чипов, таких как ARM Holdings.

"Сложность эксплойта и неизвестность функции указывают на то, что злоумышленники обладали продвинутыми техническими возможностями", — написал в своем письме исследователь Борис Ларин. "Наш анализ не выявил, как они узнали об этой функции, но мы изучаем все возможные варианты, включая случайное раскрытие информации в прошлых прошивках или исходных кодах. Возможно, они также наткнулись на нее в ходе аппаратного реверс–инжиниринга".

Другие вопросы остаются без ответа, пишет Ларин, даже после примерно 12 месяцев интенсивного исследования. Помимо того, как злоумышленники узнали об аппаратной функции, исследователи до сих пор не знают, в чем именно заключается ее назначение. Также неизвестно, является ли эта функция встроенной в iPhone, или же она включается с помощью сторонних аппаратных компонентов, таких как ARM CoreSight.

О массовой кампании по бэкдорингу, в ходе которой, по словам российских чиновников, были заражены iPhone тысяч людей, работающих в дипломатических миссиях и посольствах в России, стало известно в июне. По словам Касперского, заражение происходило в течение как минимум четырех лет в сообщениях iMessage, которые устанавливали вредоносное ПО через сложную цепочку эксплойтов, не требуя от получателя никаких действий.

После этого устройства заражались полнофункциональным шпионским ПО, которое, помимо прочего, передавало записи с микрофона, фотографии, геолокацию и другие конфиденциальные данные на контролируемые злоумышленниками серверы. Хотя заражение не выдерживало перезагрузки, неизвестные злоумышленники продолжали свою кампанию, просто отправляя устройствам новый вредоносный текст iMessage вскоре после перезагрузки.

В среду стало известно, что "Триангуляция" — так Касперский назвал и вредоносную программу, и кампанию, которая ее устанавливала, — использовала четыре критические уязвимости нулевого дня, то есть серьезные программные недостатки, которые были известны злоумышленникам еще до того, как о них узнала Apple. С тех пор компания исправила все четыре уязвимости:

CVE–2023–32434
CVE–2023–32435
CVE–2023–38606
CVE–2023–41990

Помимо iPhone, эти критические "нулевые дни" и секретная аппаратная функция были обнаружены в компьютерах Mac, iPod, iPad, телевизорах Apple TV и часах Apple Watches. Более того, эксплойты, найденные Касперским, были специально разработаны для работы и на этих устройствах. Apple исправила и эти платформы. Компания Apple отказалась от комментариев для этой статьи.

Обнаружить заражение крайне сложно даже для людей с высоким уровнем криминалистической экспертизы. Для тех, кто хочет попробовать, здесь приведен список интернет–адресов, файлов и других признаков заражения.

Наиболее интригующей новой деталью является нацеливание на ранее неизвестную аппаратную функцию, которая оказалась ключевой в кампании Operation Triangulation. Уязвимость нулевого дня в этой функции позволила злоумышленникам обойти передовые аппаратные средства защиты памяти, созданные для обеспечения целостности системы устройства, даже после того, как злоумышленник получил возможность вмешаться в память базового ядра. На большинстве других платформ после успешной эксплуатации уязвимости ядра злоумышленники получают полный контроль над взломанной системой.

На устройствах Apple, оснащенных этой защитой, злоумышленники по–прежнему не могут использовать ключевые методы постэксплуатации, такие как внедрение вредоносного кода в другие процессы, модификация кода ядра или конфиденциальных данных ядра. Эта мощная защита была обойдена путем использования уязвимости в секретной функции. Эта защита, которую редко удавалось обойти в найденных на сегодняшний день эксплойтах, также присутствует в процессорах Apple M1 и M2.

Исследователи Касперского узнали о существовании секретной аппаратной функции только после нескольких месяцев обширного реверс–инжиниринга устройств, зараженных Triangulation. В ходе работы внимание исследователей привлекли так называемые аппаратные регистры, которые предоставляют процессорам адреса памяти для взаимодействия с периферийными компонентами, такими как USB, контроллеры памяти и графические процессоры. MMIO, сокращение от Memory–mapped Input/Outputs, позволяет процессору записывать данные в конкретный аппаратный регистр определенного периферийного устройства.

"Это не обычная уязвимость", — заявил Ларин в пресс–релизе, приуроченном к его выступлению на 37–м конгрессе Chaos Communication Congress в Гамбурге (Германия). "Из–за закрытого характера экосистемы iOS процесс обнаружения был сложным и длительным, требующим всестороннего понимания как аппаратной, так и программной архитектуры. Это открытие в очередной раз учит нас тому, что даже передовые аппаратные средства защиты могут оказаться неэффективными перед лицом искушенного злоумышленника, особенно если существуют аппаратные функции, позволяющие обойти эти средства защиты".

В научной статье, также опубликованной в среду, Ларин добавил:

Если попытаться описать эту функцию и то, как злоумышленники ее используют, то все сводится к следующему: злоумышленники могут записать нужные данные по нужному физическому адресу в обход [аппаратной] защиты памяти путем записи данных, адреса назначения и хэша данных в неизвестные, не используемые прошивкой, аппаратные регистры чипа.

Мы предполагаем, что эта неизвестная аппаратная функция, скорее всего, предназначалась для отладки или тестирования инженерами Apple или заводом–изготовителем, либо была включена по ошибке. Поскольку эта функция не используется в прошивке, мы не представляем, как злоумышленники могли узнать, как ее использовать.

В тот же день в июне прошлого года, когда Касперский впервые сообщил о заражении iPhone своих сотрудников в рамках операции "Триангуляция", сотрудники российского Национального координационного центра по компьютерным инцидентам заявили, что эти атаки были частью более масштабной кампании Агентства национальной безопасности США, в ходе которой было заражено несколько тысяч iPhone, принадлежащих сотрудникам дипломатических представительств и посольств в России, в частности, представляющих страны НАТО, постсоветские государства, Израиль и Китай. В отдельном предупреждении ФСБ, Федеральной службы безопасности России, утверждалось, что Apple сотрудничала с АНБ в этой кампании. Представитель Apple опроверг это утверждение. Исследователи Касперского, тем временем, заявили, что у них нет никаких доказательств, подтверждающих утверждение о причастности АНБ или Apple.

"В настоящее время мы не можем окончательно приписать эту кибератаку какому–либо известному субъекту угроз", — написал Ларин в электронном письме. "Уникальные характеристики, наблюдаемые в ходе операции Triangulation, не совпадают с шаблонами известных кампаний, что делает атрибуцию сложной на данном этапе".

В представленных в среду результатах также подробно описаны тонкости цепочки эксплойтов, которая лежала в основе заражений Triangulation. Как отмечалось ранее, цепочка использовала четыре "нулевых дня", чтобы обеспечить запуск вредоносной программы Triangulation с привилегиями root и полный контроль над устройством и хранящимися на нем пользовательскими данными.

Она началась с эксплуатации CVE–2023–41990, уязвимости в реализации Apple шрифта TrueType. Это начальное звено цепи, в котором использовались такие техники, как программирование, ориентированное на возврат, и программирование, ориентированное на переход, чтобы обойти современные средства защиты от эксплойтов, позволило злоумышленникам удаленно выполнить код, хотя и с минимальными системными привилегиями.

После того как это препятствие было преодолено, следующее звено в цепочке эксплойтов нацелилось на ядро iOS — ядро ОС, предназначенное для наиболее важных функций и данных устройства. Манипуляции с ядром осуществлялись благодаря CVE–2023–32434 и CVE–2023–38606. CVE–2023–32434 — это уязвимость повреждения памяти в XNU, механизме, разработанном для противостояния попыткам повреждения памяти внутри ядра iOS. Эта ссылка использовала CVE–2023–38606 — уязвимость, заключающуюся в секретных регистрах MMIO. Она позволила обойти Page Protection Layer — защиту, о которой мы говорили ранее и которая предотвращает внедрение вредоносного кода и модификацию ядра даже после того, как ядро было скомпрометировано.

Затем цепочка использовала уязвимость Safari, отслеживаемую как CVE–2023–32435, для выполнения шелл–кода. Полученный шеллкод, в свою очередь, снова использовал CVE–2023–32434 и CVE–2023–38606, чтобы в итоге получить root–доступ, необходимый для установки последней полезной нагрузки шпионского ПО.

Презентация, представленная в среду и озаглавленная "Что вы получаете, когда атакуете iPhone исследователей", — еще одно напоминание о том, что даже перед лицом инновационных средств защиты, подобных тем, что защищают ядро iPhone, все более изощренные атаки продолжают находить способы их преодоления.

"Мы ежедневно обнаруживаем и анализируем новые эксплойты и атаки с их использованием", — написал Ларин. Мы обнаружили и сообщили о более чем тридцати "нулевых днях" в продуктах Adobe/Apple/Google/Microsoft, но это, безусловно, самая изощренная цепочка атак, которую мы когда–либо видели".

https://arstechnica.com/security/2023/12/exploit–used–in–mass–iphone–infection–campaign–targeted–secret–hardware–feature/

Написал zlax на apple.d3.ru / комментировать