Меню

Главная
Случайная статья
Настройки
Операция «Триангуляция»
Материал из https://ru.wikipedia.org

Операция «Триангуляция» — это целевая кибератака на iOS-устройства с применением цепочки четырёх уязвимостей нулевого дня. Впервые обнародована в июне 2023 года. Отличается беспрецедентной для iOS-атак технической сложностью. Количество жертв атаки оценивается в несколько тысяч человек.

Содержание

Цели атаки

Целью атаки являлся шпионаж: извлечение переписок и паролей с устройства, запись разговоров, геолокации. Точное число жертв установить невозможно из-за высокой скрытности организаторов атаки. Некоторые источники оценивают возможное число жертв атаки в несколько тысяч человек, называя среди них коммерческие, государственные и дипломатические организации в РФ и её представительствах за рубежом[1].

Ход событий

1 июня 2023 «Лаборатория Касперского» заявляет об обнаружении следов новой вредоносной программы на iOS-устройствах своих сотрудников. Выявлено, что программа предназначена для шпионажа и отличается высокой скрытностью, обнаружить её удалось только по необычному обмену данными с зараженных iPhone. По итогам расследования выявлено, что следы первых заражений датируются 2019 годом. Атака получает название «Операция „Триангуляция“»[2].

Практически сразу опубликована утилита triangle_check. Она позволяет пользователям проверить свои устройства iOS на компрометацию, чтобы понять, действительно ли они стали жертвами атаки[3][4][5].

21 июня 2023 «Лаборатория Касперского» публикует исследования имплантата TriangleDB, применяемого в атаке[6][7].

В тот же день компания Apple выпускает обновления iOS 15.х и 16.х, в которых устранены две уязвимости, применяемые в атаке: CVE-2023-32434 в ядре iOS и CVE-2023-32435 в механизме отображения веб-страниц WebKit. Считается, что эксплуатация этих программных ошибок позволяла незаметно заражать iPhone в обход систем безопасности iOS[8][9].

24 июля 2023 Apple выпускает обновления iOS 15.x и 16.x, устраняя уязвимости CVE-2023-38606 в ядре iOS и CVE-2023-41990 в механизме работы со шрифтами FontParser. Эти уязвимости также применялись в цепочке заражения операции «Триангуляция»[10][11].

23 октября 2023 «Лаборатория Касперского» публикует данные о многоступенчатой фильтрации потенциальных жертв авторами атаки. Эта фильтрация позволяла атакующим заражать только нужных им жертв и скрываться от безопасников.[12]

26 октября 2023 на Security Analyst Summit представлен доклад о процессе исследования операции «Триангуляция» и попытках получить все компоненты цепочки заражения[13][14].

27 декабря 2023 на Сhaos Сommunication Сongress представлен доклад о полной цепочке атаки и четырёх уязвимостях, использованных в атаке, включая недокументированные функции процессоров Apple[15][16][17][18].

28 декабря 2023 хакер Эктор Мартин[англ.] узнаёт о применении недокументированных функций процессоров Apple в операции «Триангуляция» и делится известной ему информацией о возможном механизме их работы и предназначении[19].

Технические особенности

Операция «Триангуляция» отличается беспрецедентной для iOS-атак технической сложностью: цепочка заражения состоит из 14 шагов, в процессе использовались 4 уязвимости нулевого дня, а также недокументированные аппаратные особенности процессоров Apple. Все известные атаки проводились на iOS-версии до 15.7.х, однако применяемые техники работоспособны вплоть до iOS 16.2[20][2][17].

При получении специально сконструированного невидимого владельцу сообщения iMessage на смартфоне iPhone срабатывал вредоносный код, который загружал дополнительные компоненты с командных серверов операции «Триангуляция», получал повышенные привилегии на устройстве и разворачивал в памяти смартфона шпионское ПО с широким доступом к содержимому и функциям устройства.

Заражение устройства

Изначальное заражение осуществлялось через невидимое сообщение iMessage. Вредоносное вложение в iMessage, имеющее формат .watchface (дизайн экрана смарт-часов, фактически ZIP-файл с вложенным PDF), незаметно открывало Safari в фоновом режиме, а в браузере — веб-страницу, откуда загружались следующие компоненты цепочки заражения.

Веб-страница содержала скрипт проверки (валидатор), анализирующий параметры заражаемого смартфона и принимающий решение, продолжать ли заражение. Для того, чтобы уникально идентифицировать жертв, использовалась технология canvas fingerprinting, рисующая на веб-странице треугольник, давший название операции (от англ. triange — треугольник)[12].

На этих этапах атаки эксплуатировались уязвимости нулевого дня CVE-2023-41990, CVE-2023-32434 и CVE-2023-38606.

На начальном этапе взлома на устройство жертвы через iMessage поступало сообщение с вредоносными данными, эксплуатирующими уязвимость CVE-2023-41990 в реализации Apple обработки шрифтов TrueType. Данная уязвимость позволяла удалённо выполнять код с минимальными привилегиями и переходить к следующему этапу, целью которого был доступ к ядру iOS. Эксплуатация уязвимости CVE-2023-32434 открывала доступ на чтение и запись ко всей физической памяти устройства, а CVE-2023-38606 через секретные регистры MMIO позволяла обходить механизм Page Protection Layer (PPL) после компрометации ядра. На этом этапе запускался процесс IMAgent с полезной нагрузкой, стирающей следы атаки с устройства[21].

После прохождения проверки скрипт на веб-странице параллельно эксплуатирует уязвимость CVE-2023-32435 в браузере Safari, связанную с выполнением шелл-кода, и загружает в память устройства бинарный код(второй эксплойт ядра, основанный на уязвимостях CVE-2023-32434 и CVE-2023-38606)[21], который получает привилегии root и проводит более детальную проверку смартфона на соответствие интересам атакующих. Этот бинарный валидатор также удаляет следы полученного iMessage и загружает основной вредоносный имплантат TriangleDB.

Вредоносное ПО работает только в памяти смартфона, поэтому после его перезагрузки оно стирается. В этом случае атакующие заново присылают iMessage и заражают жертву.

Недокументированная функция Apple

Чтобы обойти аппаратную защиту памяти, применяемую в последних поколениях процессоров Apple (A12-A16), в эксплойте для уязвимости ядра CVE-2023-38606 были применены недокументированные аппаратные особенности процессоров[22].

Уязвимость основана на незадокументированной аппаратной функции, благодаря которой злоумышленники обходили расширенную аппаратную защиту памяти. Этот механизм защищал целостность устройства даже при доступе злоумышленника к ядру системы. Если на других платформах хакер в этот момент получал полный контроль над системой, то у Apple даже при получении доступа к ядру не появлялась возможность изменения его кода, получения конфиденциальных данных ядра или внедрения вредоносного кода в любые процессы. Уязвимость CVE-2023-38606 позволила злоумышленникам записывать данные, адреса назначения и хеши в аппаратные регистры MMIO чипа, которые не описаны в документации и не использовались приложениями на базе iOS или самой операционной системой iOS, система о них «не знала». С ней хакеры получили возможность обхода защиты, которая присутствует также в процессорах Apple M1 и M2, в результате код эксплойта способен изменять аппаратно защищенную область памяти ядра iOS. Исследователи «Лаборатории Касперского» предполагают, что этот механизм был создан для отладки самого процессора[17][21].

По словам некоторых экспертов, «очень немногие, или вообще никто за пределами Apple и поставщиков чипов, таких как ARM Holdings» могли знать об этой функции[23].

Эктор Мартин описал возможный механизм эксплуатации, основанный на прямой записи в кэш памяти, что позволяет в ряде случаев обойти механизмы её защиты[19].

Функции имплантата TriangleDB

Вредоносное ПО TriangleDB имеет модульную структуру, поэтому его функции могут быть расширены загрузкой дополнительных модулей с сервера.

Базовая версия способна загружать на сервер злоумышленников файлы с устройства, извлекать данные из связки ключей, отслеживать геолокацию жертвы, модифицировать файлы и процессы на смартфоне[7].

Известные дополнительные модули поддерживают продолжительную звукозапись с микрофона (в том числе в авиарежиме), выполнение запросов к базам данных, сохраненных на устройстве, кражу чатов Whatsapp и Telegram[23][14].

Способы обнаружения и удаления

Блокировка обновлений

Характерным проявлением заражения смартфона вредоносным ПО операции «Триангуляция» была невозможность обновить iOS до более новой версии. Эта особенность проявлялась не на всех зараженных устройствах[24].

Следы заражения можно обнаружить в служебных файлах на iPhone. Поскольку на самом iOS-устройстве они недоступны, на компьютер делается резервная копия iPhone через iTunes и дальше проводится её анализ. Для анализа применяется утилита Triangle_check[3][25][26].

Анализ сетевых соединений

Вредоносный код операции «Триангуляция» устанавливает связь с серверами атакующих, их список был выложен в публичный доступ[2].

Удаление заражения

Для полностью скомпрометированных устройств исследователи рекомендуют следующую последовательность действий, чтобы предотвратить повторное заражение[2]:
  • сброс до заводских настроек,
  • отключение iMessage,
  • обновление iOS до более свежей версии.


Происхождение атаки

Лаборатория Касперского не делала официальных заявлений о происхождении атаки и не приписывала её какой-либо хакерской группировке или стране.

Однако 1 июня 2023 ФСБ выступило с заявлением об обнаружении вредоносного программного обеспечения для мобильных телефонов Apple, использующего «предусмотренные производителем программные уязвимости». Также ФСБ прямо обвинила Apple в сотрудничестве с АНБ США. В том же заявлении указано, что заражению подверглись несколько тысяч телефонных аппаратов, в том числе за пределами России: в странах блока НАТО, странах постсоветского пространства, Израиля, САР и КНР[27][28][29].

Apple в тот же день выпустила заявление, в котором отрицала эти обвинения[30].

ФСБ и «Лаборатория Касперского» сделали независимые друг от друга заявления. Однако некоторые эксперты считают, что речь в обоих случаях идет именно об операции «Триангуляция»[31][32][33][34].

Последствия

Apple публично опровергла обвинения в сотрудничестве со спецслужбами для внедрения бэкдоров[30].

Компания выпустила несколько пакетов обновлений, которые устраняют уязвимости в iOS, примененные в операции «Триангуляция»[35][36][9][37][11].

Apple отказалась выплачивать исследователям «Лаборатории Касперского» премию за нахождение уязвимостей в рамках своей программы Bug bounty[38].

В июле-августе 2023 года стало известно, что использование смартфонов и планшетов Apple в служебных целях запретили в ряде российских государственных и коммерческих организаций: Минцифры, Минпромторг, Минтранс, Федеральная налоговая служба, РЖД, Ростех. Позднее в 2023 году такое же решение приняли Центробанк и МЧС[39][40].

В сентябре 2023 года стало известно, что правительство Китая приняло решение о расширении запрета на пользование iPhone. Он включает не только сотрудников государственных учреждений, но и подконтрольные государству компании[41].

В 2024 году запрет iPhone по соображениям безопасности был анонсировал Минобороны Южной Кореи, при этом телефоны на базе Android не запрещены[42].

Оценки

Код для эксплуатации уязвимостей (эксплойт) в операции «Триангуляция» был назван экспертами самым сложным в истории[23][43].

Наиболее примечательными особенностями атаки названы знание злоумышленниками недокументированных возможностей чипов Apple и применение четырёх уязвимостей нулевого дня в одной атаке[44][23][45].

Криптограф Брюс Шнаер оценил атаку как «безумно сложную» и исполненную при государственной поддержке.[46]

Сложностью атаки и возможными способами защиты от неё интересовался Илон Маск[47][48].

Примечания
  1. Apple fixes iPhone software flaws used in widespread hacks of Russians (англ.). Washington Post. Дата обращения: 5 сентября 2024. Архивировано 28 ноября 2023 года.
  2. 1 2 3 4 Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства. securelist.ru (1 июня 2023). Дата обращения: 5 сентября 2024. Архивировано 16 сентября 2024 года.
  3. 1 2 New tool scans iPhones for 'Triangulation' malware infection (амер. англ.). BleepingComputer. Дата обращения: 5 сентября 2024. Архивировано 7 октября 2024 года.
  4. Найти “Триангуляцию”: утилита triangle_check. securelist.ru (2 июня 2023). Дата обращения: 5 сентября 2024. Архивировано 6 сентября 2024 года.
  5. KasperskyLab/triangle_check. — 2024-09-04.
  6. «Операция Триангуляция»: как именно кибершпионы собирали данные с iOS. CNews.ru. Дата обращения: 5 сентября 2024. Архивировано 23 января 2025 года.
  7. 1 2 Анализ TriangleDB, импланта “Операции Триангуляция”. securelist.ru (21 июня 2023). Дата обращения: 5 сентября 2024. Архивировано 13 октября 2024 года.
  8. Сведения о проблемах системы безопасности, устраняемых обновлениями iOS 16.5.1 и iPadOS 16.5.1 - Служба поддержки Apple (RU). Apple Support. Дата обращения: 5 сентября 2024. Архивировано 7 октября 2024 года.
  9. 1 2 About the security content of iOS 15.7.7 and iPadOS 15.7.7 (англ.). Apple Support. Дата обращения: 5 сентября 2024. Архивировано 29 сентября 2024 года.
  10. Сведения о проблемах системы безопасности, устраняемых обновлениями iOS 16.6 и iPadOS 16.6 - Служба поддержки Apple (RU). Apple Support. Дата обращения: 5 сентября 2024. Архивировано 25 сентября 2024 года.
  11. 1 2 About the security content of iOS 15.7.8 and iPadOS 15.7.8 (англ.). Apple Support. Дата обращения: 5 сентября 2024. Архивировано 20 сентября 2024 года.
  12. 1 2 Триангуляция: валидаторы, модули и активность после компрометации. securelist.ru (23 октября 2023). Дата обращения: 5 сентября 2024. Архивировано 6 сентября 2024 года.
  13. Как мы получили все этапы «Операции Триангуляция». securelist.ru (3 ноября 2023). Дата обращения: 5 сентября 2024. Архивировано 4 октября 2024 года.
  14. 1 2 Kaspersky Tech. Operation Triangulation: Сonnecting the Dots | Igor Kuznetsov (25 января 2024). Дата обращения: 5 сентября 2024. Архивировано 9 сентября 2024 года.
  15. Операция «Триангуляция»: раскрыт самый сложный механизм взлома Apple iPhone за всю историю. 3DNews. Дата обращения: 5 сентября 2024. Архивировано 28 декабря 2023 года.
  16. Колесников, Павел. Операция «Триангуляция»: эксперты обнаружили самый изощренный и сложный за все время способ взлома iPhone. Hi-Tech Mail (7 января 2024). Дата обращения: 5 сентября 2024. Архивировано 19 июля 2024 года.
  17. 1 2 3 Операция “Триангуляция”: последняя (аппаратная) загадка. securelist.ru (27 декабря 2023). Дата обращения: 5 сентября 2024. Архивировано 13 октября 2024 года.
  18. bzvr_; oct0xor; kucher1n. Operation Triangulation (англ.) (27 декабря 2023). Дата обращения: 5 сентября 2024. Архивировано 12 сентября 2024 года.
  19. 1 2 Hector Martin (@). Treehouse Mastodon (28 декабря 2023). Дата обращения: 5 сентября 2024. Архивировано из оригинала 6 января 2024 года.
  20. Mascellino, Alessandro. Operation Triangulation iOS Attack Details Revealed (брит. англ.). Infosecurity Magazine (26 октября 2023). Дата обращения: 5 сентября 2024. Архивировано 8 сентября 2024 года.
  21. 1 2 3 Операция «Триангуляция»: раскрыт самый сложный механизм взлома Apple iPhone за всю историю. 3D News. Дата обращения: 24 ноября 2024. Архивировано 28 декабря 2023 года.
  22. iPhone Triangulation attack abused undocumented hardware feature (амер. англ.). BleepingComputer. Дата обращения: 5 сентября 2024. Архивировано 7 октября 2024 года.
  23. 1 2 3 4 Goodin, Dan. 4-year campaign backdoored iPhones using possibly the most advanced exploit ever (амер. англ.). Ars Technica (27 декабря 2023). Дата обращения: 5 сентября 2024. Архивировано 13 сентября 2024 года.
  24. Triangulation: Trojan for iOS (амер. англ.). kaspersky.com (1 июня 2023). Дата обращения: 5 сентября 2024. Архивировано 13 августа 2024 года.
  25. Tool to find the Operation Triangulation traces (амер. англ.). securelist.com (2 июня 2023). Дата обращения: 5 сентября 2024. Архивировано 6 октября 2024 года.
  26. Releases · KasperskyLab/triangle_check (англ.). GitHub. Дата обращения: 5 сентября 2024. Архивировано 7 октября 2024 года.
  27. Подробная информация :: Федеральная Служба Безопасности. ФСБ - сайт. Дата обращения: 5 сентября 2024. Архивировано 4 сентября 2024 года.
  28. ФСБ обвинила Apple в слежке за россиянами. Чьи iPhone под угрозой и правда ли данные с устройств передаются разведке США. Lenta.RU. Дата обращения: 5 сентября 2024. Архивировано 15 ноября 2024 года.
  29. Russia says US hacked thousands of Apple phones in spy plot (англ.). Reuters. Дата обращения: 5 сентября 2024. Архивировано 1 июня 2023 года.
  30. 1 2 Apple denies surveillance claims made by Russia's FSB (англ.). Reuters. Дата обращения: 5 сентября 2024. Архивировано 12 декабря 2024 года.
  31. Goodin, Dan. “Clickless” iOS exploits infect Kaspersky iPhones with never-before-seen malware (амер. англ.). Ars Technica (1 июня 2023). Дата обращения: 5 сентября 2024. Архивировано 7 октября 2024 года.
  32. Menn, Joseph (2 июня 2023). Russia says thousands of iPhones were hacked, blames U.S. and Apple. Washington Post (амер. англ.). 0190-8286. Архивировано 25 января 2025. Дата обращения: 5 сентября 2024.
  33. РАЗВЕДЫВАТЕЛЬНАЯ АКЦИЯ АМЕРИКАНСКИХ СПЕЦСЛУЖБ С ИСПОЛЬЗОВАНИЕМ МОБИЛЬНЫХ УСТРОЙСТВ ФИРМЫ APPLE. НКЦКИ. Дата обращения: 5 сентября 2024. Архивировано 1 июня 2023 года.
  34. НКЦКИ: спецслужбы США могут получить полный доступ к устройствам Apple российских пользователей | Новости ИБ. Портал информационной безопасности. Дата обращения: 5 сентября 2024. Архивировано 20 июля 2024 года.
  35. About the security content of iOS 16.4 and iPadOS 16.4 (англ.). Apple Support. Дата обращения: 5 сентября 2024. Архивировано 20 сентября 2024 года.
  36. About the security content of iOS 16.5.1 and iPadOS 16.5.1 (англ.). Apple Support. Дата обращения: 5 сентября 2024.
  37. About the security content of iOS 16.6 and iPadOS 16.6 (англ.). Apple Support. Дата обращения: 5 сентября 2024. Архивировано 25 сентября 2024 года.
  38. Waichulis, Arin. Apple refused to pay bounty to Kaspersky for uncovering vulnerability in 'Operation Triangulation' (амер. англ.). 9to5Mac (9 июня 2024). Дата обращения: 5 сентября 2024. Архивировано 29 октября 2024 года.
  39. Смартфоны Apple запретили использовать в служебных целях. Какая мобильная экосистема может прийти им на смену? Российская газета (13 августа 2023). Дата обращения: 5 сентября 2024. Архивировано 7 сентября 2024 года.
  40. Горяинов, Никита. В каких государственных компаниях России запретили iPhone. Почему так вышло. iPhones.ru (1 мая 2024). Дата обращения: 5 сентября 2024.
  41. Apple faces partial iPhone ban in China (англ.). euronews (7 сентября 2023). Дата обращения: 5 сентября 2024. Архивировано 7 октября 2024 года.
  42. Joo-young, Hwang. [Exclusive] Korean military set to ban iPhones over 'security' concerns (англ.). The Korea Herald (23 апреля 2024). Дата обращения: 5 сентября 2024. Архивировано 12 сентября 2024 года.
  43. News, The Hacker. Most Sophisticated iPhone Hack Ever Exploited Apple's Hidden Hardware Feature (англ.). The Hacker News. Дата обращения: 5 сентября 2024. Архивировано 10 сентября 2024 года.
  44. "Triangulation" iPhone spyware used Apple hardware exploits unknown to almost everyone (амер. англ.). TechSpot (30 декабря 2023). Дата обращения: 5 сентября 2024. Архивировано 7 октября 2024 года.
  45. Kaspersky burns 11,000-line “NSA” exploit (англ.). The Stack (4 января 2024). Дата обращения: 5 сентября 2024. Архивировано 25 августа 2024 года.
  46. New iPhone Exploit Uses Four Zero-Days - Schneier on Security. www.schneier.com. Дата обращения: 5 сентября 2024. Архивировано 7 октября 2024 года.
  47. Olinga, Luc. Elon Musk Flags Sophisticated Attack Against Apple's iPhones (амер. англ.). TheStreet (2 июня 2023). Дата обращения: 5 сентября 2024. Архивировано 7 октября 2024 года.
  48. Elon Musk. Twitter Post (англ.). X (ex-Twitter). Дата обращения: 5 сентября 2024. Архивировано 23 января 2025 года.
Downgrade Counter