Οι επιτιθέμενοι του «Λειτουργία Τριγωνισμού» Spyware παρακάμπτουν τις προστασίες μνήμης iPhone

Μια προηγουμένως μη τεκμηριωμένη δυνατότητα υλικού στο σύστημα iPhone της Apple σε ένα τσιπ (SoC) επιτρέπει την εκμετάλλευση πολλαπλών ευπαθειών, επιτρέποντας τελικά στους εισβολείς να παρακάμψουν την προστασία μνήμης που βασίζεται σε υλικό.

Η ευπάθεια διαδραματίζει κεντρικό ρόλο στην εκστρατεία μηδενικού κλικ "Operation Triangulation" της εξελιγμένης προηγμένης επίμονης απειλής (APT), σύμφωνα με μια αναφέρουν από την Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky (GReAT).

Η Operation Triangulation iOS εκστρατεία κατασκοπείας κυβερνοκατασκοπείας υπάρχει από το 2019 και έχει χρησιμοποιήσει πολλαπλές ευπάθειες ως μηδενικές ημέρες για να παρακάμψει τα μέτρα ασφαλείας στα iPhone, θέτοντας σε διαρκή κίνδυνο για το απόρρητο και την ασφάλεια των χρηστών. Στους στόχους περιλαμβάνονται Ρώσοι διπλωμάτες και άλλοι αξιωματούχοι εκεί, καθώς και ιδιωτικές επιχειρήσεις όπως η ίδια η Kaspersky.

Τον Ιούνιο, η Kaspersky κυκλοφόρησε ένα αναφέρουν προσφέροντας πρόσθετες λεπτομέρειες για το εμφύτευμα λογισμικού κατασκοπείας TriangleDB που χρησιμοποιείται στην καμπάνια, επισημαίνοντας πολλές μοναδικές δυνατότητες, για παράδειγμα απενεργοποιημένες λειτουργίες που θα μπορούσαν να αναπτυχθούν στο μέλλον.

Αυτή την εβδομάδα, η ομάδα παρουσίασε τα πιο πρόσφατα ευρήματά της στο 37ο Chaos Communication Congress στο Αμβούργο της Γερμανίας, αποκαλώντας το «την πιο εξελιγμένη αλυσίδα επίθεσης» που είχαν δει να χρησιμοποιείται στην επιχείρηση.

Η επίθεση με μηδενικό κλικ απευθύνεται στην εφαρμογή iMessage του iPhone, που στοχεύει σε εκδόσεις iOS έως και iOS 16.2. Όταν εμφανίστηκε για πρώτη φορά, εκμεταλλευόταν τέσσερις ημέρες μηδέν με περίπλοκα δομημένα στρώματα επίθεσης.

Μέσα στην «Λειτουργία Τριγωνοποίηση» Zero-Click Mobile Attack

Η επίθεση ξεκινά αθώα καθώς κακόβουλοι παράγοντες στέλνουν ένα συνημμένο iMessage, εκμεταλλευόμενοι την ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE) CVE-2023-41990.

Αυτό το exploit στοχεύει την μη τεκμηριωμένη εντολή γραμματοσειράς ADJUST TrueType αποκλειστικά για την Apple, που υπάρχει από τις αρχές της δεκαετίας του '90 πριν από μια επόμενη ενημέρωση κώδικα.

Στη συνέχεια, η ακολουθία επίθεσης εμβαθύνει, αξιοποιώντας τον προγραμματισμό προσανατολισμένο στην επιστροφή/άλμα και τα στάδια γλώσσας ερωτήματος NSExpression/NSPredicate για να χειριστεί τη βιβλιοθήκη JavaScriptCore.

Οι εισβολείς έχουν ενσωματώσει μια προνομιακή εκμετάλλευση κλιμάκωσης στο JavaScript, προσεκτικά συσκοτισμένη για να κρύψει το περιεχόμενό της, το οποίο εκτείνεται σε περίπου 11,000 γραμμές κώδικα.

Αυτό το περίπλοκο JavaScript εκμεταλλεύεται ελιγμούς μέσω της μνήμης του JavaScriptCore και εκτελεί εγγενείς λειτουργίες API αξιοποιώντας τη δυνατότητα εντοπισμού σφαλμάτων JavaScriptCore DollarVM ($vm).

Εκμετάλλευση ευπάθειας υπερχείλισης ακέραιου αριθμού που παρακολουθείται ως CVE-2023-32434 μέσα στα συστήματα αντιστοίχισης μνήμης του XNU, οι εισβολείς αποκτούν στη συνέχεια άνευ προηγουμένου πρόσβαση ανάγνωσης/εγγραφής στη φυσική μνήμη της συσκευής σε επίπεδο χρήστη.

Επιπλέον, παρακάμπτουν επιδέξια το Επίπεδο Προστασίας Σελίδας (PPL) χρησιμοποιώντας καταχωρητές I/O (MMIO) με αντιστοίχιση μνήμης υλικού, μια ανησυχητική ευπάθεια που εκμεταλλεύεται ως μηδενική ημέρα από την ομάδα Operation Triangulation αλλά τελικά αντιμετωπίστηκε ως CVE-2023-38606 από την Apple.

Όταν διεισδύσουν στις άμυνες της συσκευής, οι εισβολείς ασκούν επιλεκτικό έλεγχο ξεκινώντας τη διαδικασία IMAgent, εισάγοντας ένα ωφέλιμο φορτίο για να καθαρίσουν τυχόν ίχνη εκμετάλλευσης.

Στη συνέχεια, ξεκινούν μια αόρατη διαδικασία Safari που ανακατευθύνεται σε μια ιστοσελίδα που φιλοξενεί το επόμενο στάδιο του exploit.

Η ιστοσελίδα εκτελεί επαλήθευση θυμάτων και, μετά τον επιτυχή έλεγχο ταυτότητας, ενεργοποιεί μια εκμετάλλευση του Safari, χρησιμοποιώντας CVE-2023-32435 για την εκτέλεση ενός shellcode.

Αυτός ο κώδικας φλοιού ενεργοποιεί μια άλλη εκμετάλλευση του πυρήνα με τη μορφή αρχείου αντικειμένου Mach, αξιοποιώντας δύο από τα ίδια CVE που χρησιμοποιήθηκαν σε προηγούμενα στάδια (CVE-2023-32434 και CVE-2023-38606).

Μόλις αποκτήσουν δικαιώματα root, οι εισβολείς ενορχηστρώνουν πρόσθετα στάδια, εγκαθιστώντας τελικά spyware.

Μια αυξανόμενη πολυπλοκότητα στις κυβερνοεπιθέσεις iPhone

Η έκθεση σημείωσε ότι η περίπλοκη επίθεση πολλαπλών σταδίων παρουσιάζει ένα άνευ προηγουμένου επίπεδο πολυπλοκότητας, εκμεταλλευόμενη ποικίλες ευπάθειες σε συσκευές iOS και αυξάνει τις ανησυχίες σχετικά με το εξελισσόμενο τοπίο των απειλών στον κυβερνοχώρο.

Ο Boris Larin, κύριος ερευνητής ασφάλειας Kaspersky, εξηγεί ότι η νέα ευπάθεια υλικού βασίζεται πιθανώς στην αρχή της «ασφάλειας μέσω της αφάνειας» και μπορεί να προοριζόταν για δοκιμή ή εντοπισμό σφαλμάτων.

«Μετά την αρχική επίθεση iMessage με μηδέν κλικ και την επακόλουθη κλιμάκωση των προνομίων, οι εισβολείς χρησιμοποίησαν τη δυνατότητα για να παρακάμψουν τις προστασίες ασφαλείας που βασίζονται σε υλικό και να χειριστούν τα περιεχόμενα των προστατευόμενων περιοχών μνήμης», λέει. "Αυτό το βήμα ήταν κρίσιμο για την απόκτηση πλήρους ελέγχου της συσκευής."

Προσθέτει ότι από όσο γνωρίζει η ομάδα της Kaspersky, αυτή η δυνατότητα δεν είχε τεκμηριωθεί δημόσια και δεν χρησιμοποιείται από το υλικολογισμικό, γεγονός που αποτελεί σημαντική πρόκληση στον εντοπισμό και την ανάλυσή της χρησιμοποιώντας συμβατικές μεθόδους ασφαλείας.

«Αν μιλάμε για συσκευές iOS, λόγω της κλειστής φύσης αυτών των συστημάτων, είναι πραγματικά δύσκολο να εντοπιστούν τέτοιες επιθέσεις», λέει ο Larin. "Οι μόνες μέθοδοι ανίχνευσης που είναι διαθέσιμες για αυτές είναι η εκτέλεση ανάλυσης κίνησης δικτύου και εγκληματολογικής ανάλυσης των αντιγράφων ασφαλείας συσκευών που έχουν γίνει με το iTunes."

Εξηγεί ότι αντίθετα, τα συστήματα macOS για επιτραπέζιους υπολογιστές και φορητούς υπολογιστές είναι πιο ανοιχτά και επομένως, είναι διαθέσιμες πιο αποτελεσματικές μέθοδοι ανίχνευσης για αυτά.

«Σε αυτές τις συσκευές είναι δυνατή η εγκατάσταση Ανίχνευση και απόκριση τελικού σημείου (EDR) λύσεις που μπορούν να βοηθήσουν στον εντοπισμό τέτοιων επιθέσεων», σημειώνει ο Larin.

Συνιστά στις ομάδες ασφαλείας να ενημερώνουν τακτικά το λειτουργικό τους σύστημα, τις εφαρμογές και το λογισμικό προστασίας από ιούς. επιδιορθώστε τυχόν γνωστά τρωτά σημεία. και παρέχουν στις ομάδες SOC τους πρόσβαση στις πιο πρόσφατες πληροφορίες απειλών.

«Εφαρμόστε λύσεις EDR για ανίχνευση, διερεύνηση και έγκαιρη αποκατάσταση περιστατικών σε επίπεδο τελικού σημείου, επανεκκινήστε καθημερινά για να διακόψετε επίμονες μολύνσεις, απενεργοποιήστε το iMessage και το Facetime για να μειώσετε τους κινδύνους εκμετάλλευσης μηδενικού κλικ και εγκαταστήστε εγκαίρως ενημερώσεις iOS για προστασία από γνωστά τρωτά σημεία», Larin προσθέτει.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/application-security/operation-triangulation-spyware-attackers-bypass-iphone-memory-protections