‘Operation Triangulation’ Spyware Attackers Bypass IPhone Memory Protections

Ripubblicato da Platone

Seguaci: 0

Una funzionalità hardware precedentemente non documentata all’interno del System on a Chip (SoC) dell’iPhone di Apple consente lo sfruttamento di molteplici vulnerabilità, permettendo infine agli aggressori di aggirare la protezione della memoria basata sull’hardware.

Secondo un sondaggio, la vulnerabilità svolge un ruolo centrale nella sofisticata campagna a clic zero “Operazione Triangolazione” di Advanced Persistent Threat (APT) rapporto dal Global Research and Analysis Team (GReAT) di Kaspersky.

I Operazione Triangolazione Campagna di spionaggio di cyberspionaggio iOS esiste dal 2019 e ha utilizzato molteplici vulnerabilità come zero-day per aggirare le misure di sicurezza negli iPhone, ponendo un rischio persistente per la privacy e la sicurezza degli utenti. Gli obiettivi includono diplomatici russi e altri funzionari locali, nonché imprese private come la stessa Kaspersky.

A giugno Kaspersky ha rilasciato a rapporto offrendo ulteriori dettagli sull'impianto spyware TriangleDB utilizzato nella campagna, evidenziando numerose funzionalità uniche, ad esempio funzionalità disabilitate che potrebbero essere implementate in futuro.

Questa settimana, il team ha presentato le sue scoperte più recenti al 37° Congresso sulla comunicazione del caos ad Amburgo, in Germania, definendola “la catena di attacco più sofisticata” che avessero mai visto utilizzata nell’operazione.

L’assalto senza clic è diretto all’app iMessage dell’iPhone, rivolta alle versioni iOS fino a iOS 16.2. Quando è stato visto per la prima volta, sfruttava quattro zero-day con livelli di attacco strutturati in modo complesso.

All'interno dell'"Operazione Triangolazione" Attacco mobile zero-click

L'attacco inizia in modo innocuo quando gli autori malintenzionati inviano un allegato iMessage, sfruttando la vulnerabilità RCE (Remote Code Execution). CVE-2023-41990.

Questo exploit prende di mira l'istruzione non documentata del carattere ADJUST TrueType esclusiva di Apple, esistente dall'inizio degli anni Novanta prima di una patch successiva.

La sequenza di attacco quindi approfondisce, sfruttando la programmazione orientata al ritorno/salto e le fasi del linguaggio di query NSExpression/NSPredicate per manipolare la libreria JavaScriptCore.

Gli aggressori hanno incorporato un exploit di escalation privilegiato in JavaScript, accuratamente offuscato per nasconderne il contenuto, che si estende su circa 11,000 righe di codice.

Questo intricato exploit JavaScript si muove attraverso la memoria di JavaScriptCore ed esegue funzioni API native sfruttando la funzionalità di debug di JavaScriptCore DollarVM ($vm).

Sfruttare una vulnerabilità di overflow di numeri interi tracciata come CVE-2023-32434 all’interno delle chiamate di sistema di mappatura della memoria di XNU, gli aggressori ottengono quindi un accesso in lettura/scrittura senza precedenti alla memoria fisica del dispositivo a livello di utente.

Inoltre, bypassano abilmente il Page Protection Layer (PPL) utilizzando i registri I/O mappati in memoria hardware (MMIO), una vulnerabilità preoccupante sfruttato come zero-day dal gruppo Operazione Triangolazione ma alla fine indirizzato come CVE-2023-38606 di Apple.

Dopo aver penetrato le difese del dispositivo, gli aggressori esercitano un controllo selettivo avviando il processo IMAgent, iniettando un payload per eliminare eventuali tracce di sfruttamento.

Successivamente avviano un processo Safari invisibile che reindirizza a una pagina Web che ospita la fase successiva dell'exploit.

La pagina Web esegue la verifica della vittima e, dopo l'autenticazione riuscita, attiva un exploit Safari, utilizzando CVE-2023-32435 per eseguire uno shellcode.

Questo shellcode attiva ancora un altro exploit del kernel sotto forma di file oggetto Mach, sfruttando due degli stessi CVE utilizzati nelle fasi precedenti (CVE-2023-32434 e CVE-2023-38606).

Una volta ottenuti i privilegi di root, gli aggressori orchestrano fasi aggiuntive, eventualmente installando spyware.

Una crescente sofisticazione negli attacchi informatici contro gli iPhone

Il rapporto ha rilevato che l’intricato attacco in più fasi presenta un livello di sofisticazione senza precedenti, sfruttando varie vulnerabilità sui dispositivi iOS e sollevando preoccupazioni sul panorama in evoluzione delle minacce informatiche.

Boris Larin, principale ricercatore sulla sicurezza di Kaspersky, spiega che la nuova vulnerabilità hardware è probabilmente basata sul principio della "sicurezza attraverso l'oscurità" e potrebbe essere stata intesa per test o debug.

"In seguito all'attacco iniziale a iMessage senza clic e alla successiva escalation dei privilegi, gli aggressori hanno sfruttato la funzionalità per aggirare le protezioni di sicurezza basate sull'hardware e manipolare il contenuto delle regioni di memoria protette", afferma. “Questo passaggio è stato cruciale per ottenere il pieno controllo del dispositivo.”

Aggiunge che, per quanto ne sa il team di Kaspersky, questa funzionalità non è stata documentata pubblicamente e non è utilizzata dal firmware, il che rappresenta una sfida significativa nel rilevamento e nell'analisi tramite metodi di sicurezza convenzionali.

"Se parliamo di dispositivi iOS, a causa della natura chiusa di questi sistemi, è davvero difficile rilevare tali attacchi", afferma Larin. "Gli unici metodi di rilevamento disponibili per questi casi sono l'esecuzione di un'analisi del traffico di rete e un'analisi forense dei backup dei dispositivi effettuati con iTunes."

Spiega che, al contrario, i sistemi macOS desktop e portatili sono più aperti e quindi per questi sono disponibili metodi di rilevamento più efficaci.

“Su questi dispositivi è possibile installare rilevamento e risposta dell'endpoint (EDR) soluzioni che possono aiutare a rilevare tali attacchi”, osserva Larin.

Raccomanda ai team di sicurezza di aggiornare regolarmente il proprio sistema operativo, le applicazioni e il software antivirus; correggere eventuali vulnerabilità note; e fornire ai team SOC l'accesso alle più recenti informazioni sulle minacce.

"Implementa soluzioni EDR per il rilevamento, l'indagine e la risoluzione tempestiva degli incidenti a livello di endpoint, riavvia quotidianamente per interrompere le infezioni persistenti, disabilita iMessage e FaceTime per ridurre i rischi di exploit senza clic e installa tempestivamente gli aggiornamenti iOS per proteggerti dalle vulnerabilità note", Larin aggiunge.