Представительство «Лаборатории Касперского» в Армении.  Эксперты «Лаборатории Касперского» обошли защиту злоумышленников кампании «Операция Триангуляция», в которой использовалось пять уязвимостей. Четыре из них оказались ранее неизвестными уязвимостями нулевого дня.

 

Еще этим летом «Лаборатория Касперского» сообщила об APT-кампании «Операция Триангуляция», которой подверглись iOS-устройства. Для атак использовался сложный метод распространения эксплойтов — через сообщения в iMessage, который не требовал каких-либо действий от пользователей. В результате злоумышленники получали полный контроль над устройством и пользовательскими данными. По оценке Глобального центра исследований и анализа угроз «Лаборатории Касперского» (Global Research and Analysis Team — GReAT), основной целью атакующих был шпионаж. Чтобы провести детальный технический анализ, потребовалось много времени — из-за сложности атаки и закрытости iOS.

Компания сообщает, что, по данным экспертов, первоначальной точкой входа была уязвимость в библиотеке обработки шрифтов. Вторая брешь была обнаружена в коде отображения памяти — чрезвычайно опасная и простая в эксплуатации. Она позволяла получить доступ к физической памяти устройства. Ещё двумя уязвимостями злоумышленники воспользовались для того, чтобы обойти новейшие средства аппаратной защиты процессора Apple. Также выяснилось, что, помимо возможности удалённо заражать устройства под управлением iOS через iMessage, у злоумышленников была платформа для совершения атак через веб-браузер Safari. Благодаря этому удалось обнаружить и исправить пятую из уязвимостей.

После уведомления от «Лаборатории Касперского» компания Apple официально выпустила обновления безопасности, которые устраняли четыре уязвимости нулевого дня, обнаруженные исследователями GReAT (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990). Они затрагивали большое количество продуктов Apple, среди которых iPhone, iPod, iPad, устройства на Mac OS, Apple TV и Apple Watch.

Чтобы обнаружить эти уязвимости и понять, как действовали атакующие, специалистам «Лаборатории Касперского» пришлось проявить изобретательность. В частности, им нужно было придумать методы, которые позволят обойти шифрование злоумышленников. Задача осложнялась закрытостью iOS. Например, чтобы извлечь вложение из iMessage — начало цепочки заражения — нужно было заполучить зашифрованный текст и ключ для шифрования AES. Первый компонент удалось добыть, перехватив трафик к серверам iCloud через mitmproxy. Проделать то же самое с ключом было нельзя, поскольку он отправляется по протоколу iMessage. Поэтому эксперты придумали способ нарушить процесс загрузки зашифрованного текста вложения, чтобы ключ сохранился в базе данных SMS.db. Для этого они изменили несколько байт в зашифрованном тексте с помощью дополнения для mitmproxy, а затем загрузили резервную копию iTunes с заражённого устройства (они использовались вместо полных образов устройств) и извлекли ключ из содержащейся в ней базы данных.

«Аппаратные средства защиты устройств с новыми чипами Apple значительно повышают их устойчивость к кибератакам, хотя они не являются полностью неуязвимыми. «Операция Триангуляция» — это напоминание о том, как важно с осторожностью относиться к вложениям, которые приходят в iMessage из незнакомых источников. Выводы о стратегиях в этой кампании могут послужить ценным руководством для противодействия подобным атакам. Также повышению безопасности может поспособствовать поиск баланса между закрытостью системы и её доступности для исследователей», — комментирует Борис Ларин, эксперт по кибербезопасности «Лаборатории Касперского».

Чтобы помочь пользователям защититься, «Лаборатория Касперского» ранее опубликовала подробный отчёт об атаке и разработала специальную утилиту, благодаря которой можно проверить, не заражено ли устройство.

Узнать больше про Операцию Триангуляция можно на сайте https://securelist.ru/operation-triangulation-catching-wild-triangle/108287/. «Лаборатория Касперского» планирует дальнейшую публикацию технических деталей и дополнительных отчётов по своему исследованию.

Представительство компании «Лаборатория Касперского» в Армении

По вопросам обращайтесь по телефонному номеру +374 95 62 74 65

 

 

  -   Новости науки и технологии