De spyware-aanvallen van Operation Triangulation, gericht op Apple iOS-apparaten, maakten gebruik van nooit eerder vertoonde exploits die het mogelijk maakten om zelfs cruciale, op hardware gebaseerde beveiligingsmaatregelen van het bedrijf te omzeilen.
Het Russische cyberbeveiligingsbedrijf Kaspersky, dat de campagne begin 2023 ontdekte nadat het een van de doelwitten was geworden, beschreef het als de “meest geavanceerde aanvalsketen” die het tot nu toe ooit heeft waargenomen. Aangenomen wordt dat de campagne sinds 2019 actief is.
De exploitatieactiviteit omvatte het gebruik van vier zero-day-fouten die tot een keten waren samengevoegd om een ongekend niveau van toegang en backdoor-doelapparaten met iOS-versies tot iOS 16.2 te verkrijgen met als uiteindelijk doel het verzamelen van gevoelige informatie.
Het startpunt van de zero-click-aanval is een iMessage met een kwaadaardige bijlage, die automatisch wordt verwerkt zonder enige gebruikersinteractie om uiteindelijk verhoogde rechten te verkrijgen en een spywaremodule te implementeren. Het gaat specifiek om de bewapening van de volgende kwetsbaarheden:
- CVE-2023-41990 – Een fout in de FontParser-component die kan leiden tot het uitvoeren van willekeurige code bij het verwerken van een speciaal vervaardigd lettertypebestand, dat via iMessage wordt verzonden. (Behandeld in iOS 15.7.8 en iOS 16.3)
- CVE-2023-32434 – Een kwetsbaarheid voor integer overflow in de kernel die door een kwaadaardige app kan worden misbruikt om willekeurige code met kernelrechten uit te voeren. (Behandeld in iOS 15.7.7, iOS 15.8 en iOS 16.5.1)
- CVE-2023-32435 – Een kwetsbaarheid voor geheugenbeschadiging in WebKit die kan leiden tot uitvoering van willekeurige code bij het verwerken van speciaal vervaardigde webinhoud. (Behandeld in iOS 15.7.7 en iOS 16.5.1)
- CVE-2023-38606 – Een probleem in de kernel waardoor een kwaadaardige app de gevoelige kernelstatus kan wijzigen. (Behandeld in iOS 16.6)
Het is vermeldenswaard dat patches voor CVE-2023-41990 in januari 2023 door Apple zijn uitgebracht, hoewel details over de exploitatie pas op 8 september 2023 door het bedrijf openbaar werden gemaakt, dezelfde dag dat iOS 16.6.1 werd uitgebracht om twee andere problemen op te lossen. gebreken (CVE-2023-41061 en CVE-2023-41064) die actief werden misbruikt in verband met een Pegasus-spywarecampagne.
Dit brengt ook het aantal actief benutte zero-days dat Apple sinds het begin van het jaar heeft opgelost op twintig.
Van de vier kwetsbaarheden verdient CVE-2023-38606 een speciale vermelding, omdat het een omzeiling van op hardware gebaseerde beveiligingsbescherming voor gevoelige gebieden van het kernelgeheugen mogelijk maakt door gebruik te maken van memory-mapped I/O (MMIO)-registers, een functie die nooit eerder werd ontdekt. tot nu toe bekend of gedocumenteerd.
De exploit richt zich met name op Apple A12-A16 Bionic SoC’s, waarbij onbekende MMIO-registerblokken worden uitgekozen die tot de GPU-coprocessor behoren. Het is momenteel niet bekend hoe de mysterieuze dreigingsactoren achter de operatie achter het bestaan ervan kwamen. Het is ook onduidelijk of het door Apple is ontwikkeld of dat het een component van een derde partij is, zoals ARM CoreSight.
Met andere woorden: CVE-2023-38606 is de cruciale schakel in de exploitatieketen die nauw verweven is met het succes van de Operatie Triangulatie-campagne, gezien het feit dat de dreigingsactor hierdoor de volledige controle over het gecompromitteerde systeem krijgt.
“Onze gok is dat deze onbekende hardwarefunctie hoogstwaarschijnlijk bedoeld was om te worden gebruikt voor foutopsporings- of testdoeleinden door Apple-technici of de fabriek, of dat deze per ongeluk werd toegevoegd”, aldus beveiligingsonderzoeker Boris Larin. “Omdat deze functie niet door de firmware wordt gebruikt, hebben we geen idee hoe aanvallers zouden weten hoe ze deze moeten gebruiken.”
“Hardwarebeveiliging is vaak afhankelijk van ‘beveiliging door onduidelijkheid’, en het is veel moeilijker om te reverse-engineeren dan software, maar dit is een gebrekkige aanpak, omdat vroeg of laat alle geheimen worden onthuld. Systemen die vertrouwen op ‘beveiliging door middel van obscuriteit’ onduidelijkheid” kan nooit echt veilig zijn.”
Deze ontwikkeling komt op het moment dat de Washington Post meldde dat de waarschuwingen van Apple eind oktober over Indiase journalisten en politici van de oppositie mogelijk het doelwit waren van door de staat gesponsorde spyware-aanvallen. Dit bracht de regering ertoe de juistheid van de beweringen in twijfel te trekken en deze te omschrijven als een geval van ‘algoritmische storing’. ” binnen de systemen van de technologiegigant.
Bovendien eisten hoge overheidsfunctionarissen dat het bedrijf de politieke impact van de waarschuwingen zou verzachten en drongen ze er bij het bedrijf op aan om alternatieve verklaringen te geven waarom de waarschuwingen mogelijk waren verzonden. Tot nu toe heeft India het gebruik van spyware zoals die van Pegasus van NSO Group noch bevestigd noch ontkend.
De Washington Post citeerde mensen met kennis van de zaak en merkte op dat “Indiase functionarissen Apple vroegen de waarschuwingen in te trekken en te zeggen dat het een fout had gemaakt”, en dat “de leidinggevenden op het gebied van bedrijfscommunicatie van Apple India privé Indiase technologiejournalisten begonnen te vragen om in hun verhalen de nadruk te leggen op dat de waarschuwingen van Apple vals alarm zouden kunnen zijn” om de schijnwerpers van de overheid af te leiden.
