«Операция Триангуляция»: доклад на 37С3

На проходящей в Гамбурге 37-ой конференции Chaos Communication Congress (37C3) наши эксперты из Kaspersky Global Research and Analysis Team (GReAT) Борис Ларин, Леонид Безвершенко и Григорий Кучерин выступили с докладом Operation Triangulation: what you get when attack iPhones of researchers (Операция «Триангуляция»: что произойдет, если атаковать iPhone специалистов по безопасности). Они подробно описали цепочку атаки и рассказали о деталях использования всех задействованных в ней уязвимостей, в том числе впервые подробно рассмотрели эксплуатацию аппаратной уязвимости CVE-2023-38606.

Мы не будем пересказывать все подробности этого доклада — технические детали можно найти в посте на блоге Securelist или узнать из записи доклада на официальном сайте конференции — а здесь кратко опишем основные моменты.

Цепочка атаки «Операции Триангуляция»

• Как мы уже говорили в начале лета, атака начиналась с невидимого сообщения iMessage, в котором было вредоносное вложение, обрабатывавшееся без ведома пользователя. И вообще вся атака не требовала от пользователя никаких действий.
• Наши эксперты смогли выявить атаку благодаря мониторингу корпоративной Wi-Fi-сети для мобильных устройств при помощи нашей SIEM-системы Kaspersky Unified Monitoring and Analysis Platform (KUMA).
• В атаке использовались четыре уязвимости нулевого дня которым были подвержены все устройства iOS до версии 16.2: CVE-2023-32434, CVE-2023-32435, CVE-2023-41990 и вышеупомянутая CVE-2023-38606.
• Обфусцированный эксплойт «Триангуляции» мог работать и на современных вариантах iPhone, и на достаточно старых моделях. При этом на современных он мог успешно обходить Pointer Authentication Code (PAC).
• Применявшаяся в нем уязвимость CVE-2023-32434 позволяла получить доступ ко всей физической памяти устройства на уровне пользователя, причем как на чтение, так и на запись.
• Благодаря эксплуатации всех четырех уязвимостей зловред мог получить полный контроль над устройством и запускать дальнейшую нагрузку, но вместо этого он запускал процесс IMAgent и через него удалял с устройства следы атаки, а также запустил процесс Safari в фоновом режиме и перенаправлял его на заранее подготовленную веб-страницу с эксплойтом уже под Safari.
• Эксплойт под Safari получал root-права и запускал дальнейшие этапы атаки (о которых мы уже рассказывали ранее).
• Уязвимость CVE-2023-38606 позволяла обходить механизм аппаратной защиты памяти, причем для этого использовались недокументированные и неиспользуемые прошивкой аппаратные регистры чипа. По версии наших экспертов, эта аппаратная функция была создана для отладки или тестирования и потом почему-то осталась включенной.

Основная оставшаяся загадка — как именно злоумышленники догадались использовать эту недокументированную функцию и откуда вообще узнали о ней.