Operacja Triangulation – Kaspersky ujawnia ataki spyware na iPhone’y

Firma Kaspersky, lider w dziedzinie cyberbezpieczeństwa, odkryła szczegóły Operacji Triangulation – długofalowej kampanii APT wymierzonej w iPhone’y z systemem iOS. Operacja, aktywna od 2019 roku, wykorzystywała „zero-click” ataki przez iMessage, co pozwalało na zainstalowanie spyware bez jakiejkolwiek interakcji użytkownika. Głównym celem była pełna kontrola nad danymi ofiar dzięki zaawansowanemu spyware o nazwie TriangleDB, wykrytemu latem 2023 roku.

Tajemnicza funkcja sprzętowa w procesorach Apple

Zespół Kaspersky Global Research and Analysis Team (GReAT) odkrył nieudokumentowaną funkcję sprzętową w procesorach Apple, która mogła posłużyć cyberprzestępcom do ataków na iPhone’y. Funkcja ta, ukryta w systemie Apple SoC (system-on-a-chip), mogła zostać dodana do testowania lub debugowania. Napastnicy byli w stanie ominąć zabezpieczenia i przejąć pełną kontrolę nad urządzeniami.

Wykorzystanie luk zero-day

Szczegóły techniczne operacji Kaspersky ujawnił na konferencji Chaos Communication Congress w grudniu 2023 roku. Badacze opisali kilka luk zero-day, m.in. CVE-2023-41990 i CVE-2023-38606, które pozwalały na ominięcie sprzętowych zabezpieczeń i wykonanie zdalnego kodu (RCE). Złośliwe oprogramowanie TriangleDB było instalowane poprzez zero-click exploity w iMessage, a kluczowa luka CVE-2023-38606 umożliwiała atak przez szkodliwe załączniki iMessage, skutecznie omijając ochronę Page Protection Layer.

Nowa metoda ataku na pamięć urządzenia

Hakerzy wykorzystali tajemniczą funkcję sprzętową, umożliwiającą dostęp do pamięci i omijanie zabezpieczeń poprzez rejestry GPU i MMIO (Memory-Mapped I/O). Dzięki temu uzyskali dostęp do kluczowych elementów systemu, przełamując mechanizmy ochronne Apple.

Reakcja Apple i wyzwania związane z bezpieczeństwem

Apple wydało aktualizacje zabezpieczające, naprawiające m.in. luki CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 i CVE-2023-41990. Nadal jednak pozostają pytania, dlaczego taka funkcja sprzętowa znalazła się w urządzeniach konsumenckich oraz w jaki sposób hakerzy nauczyli się ją wykorzystywać, mimo że oficjalnie nie jest ona używana przez oprogramowanie.

Operacja Triangulation rzuca nowe światło na zagrożenia w urządzeniach mobilnych, pokazując, że nawet zaawansowane systemy bezpieczeństwa mogą być przełamane przez cyberprzestępców. Sytuacja ta unaocznia potrzebę ciągłej ochrony przed zagrożeniami, szczególnie jeśli obejmują one mało znane funkcje sprzętowe, które mogą stanowić furtkę dla ataków.