Эксперты Глобального центра исследований и анализа угроз «Лаборатории Касперского» (Global Research and Analysis Team — GReAT) в ходе конференции Security Analyst Summit (SAS) привели новые подробности анализа Операции Триангуляция. Они касаются методов исследования атаки, которые позволили обнаружить уязвимости в iOS и эксплойты, лежащие в основе инцидента. Также эксперты поделились информацией об инструментах, которые позволили им изучить закрытую операционную систему и обойти защитные механизмы злоумышленников, чтобы разобраться во всех этапах кампании.

Предыстория. Этим летом «Лаборатория Касперского» сообщила об APT-кампании Операция Триангуляция, которой подверглись iOS-устройства. Для атак использовался сложный метод распространения эксплойтов — через сообщения в iMessage, который не требовал каких-либо действий от пользователей. В результате злоумышленники получали полный контроль над устройством и пользовательскими данными. По оценке GReAT, основной целью атакующих был шпионаж. Чтобы провести детальный технический анализ, потребовалось много времени — из-за сложности атаки и закрытости iOS.

Какие уязвимости использовали злоумышленники. На конференции Security Analyst Summit эксперты «Лаборатории Касперского» сообщили технические подробности многомесячного анализа, позволившего полностью раскрыть цепочку атаки, в которой использовалось пять уязвимостей. Четыре из них оказались ранее неизвестными уязвимостями нулевого дня.

Как выяснили эксперты «Лаборатории Касперского», первоначальной точкой входа была уязвимость в библиотеке обработки шрифтов. Вторая брешь была обнаружена в коде отображения памяти — чрезвычайно опасная и простая в эксплуатации. Она позволяла получить доступ к физической памяти устройства. Ещё двумя уязвимостями злоумышленники воспользовались для того, чтобы обойти новейшие средства аппаратной защиты процессора Apple. Также выяснилось, что, помимо возможности удалённо заражать устройства под управлением iOS через iMessage, у злоумышленников была платформа для совершения атак через веб-браузер Safari. Благодаря этому удалось обнаружить и исправить пятую из уязвимостей.

После уведомления от «Лаборатории Касперского» компания Apple официально выпустила обновления безопасности, которые устраняли четыре уязвимости нулевого дня, обнаруженные исследователями GReAT (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990). Они затрагивали большое количество продуктов Apple, среди которых iPhone, iPod, iPad, устройства на Mac OS, Apple TV и Apple Watch.

Как экспертам удалось раскрыть цепочку атак. Чтобы обнаружить эти уязвимости и понять, как действовали атакующие, специалистам «Лаборатории Касперского» пришлось проявить изобретательность. В частности, им нужно было придумать методы, которые позволят обойти шифрование злоумышленников. Задача осложнялась закрытостью iOS. Например, чтобы извлечь вложение из iMessage — начало цепочки заражения — нужно было заполучить зашифрованный текст и ключ для шифрования AES. Первый компонент удалось добыть, перехватив трафик к серверам iCloud через mitmproxy. Проделать то же самое с ключом было нельзя, поскольку он отправляется по протоколу iMessage. Поэтому эксперты придумали способ нарушить процесс загрузки зашифрованного текста вложения, чтобы ключ сохранился в базе данных SMS.db. Для этого они изменили несколько байт в зашифрованном тексте с помощью дополнения для mitmproxy, а затем загрузили резервную копию iTunes с заражённого устройства (они использовались вместо полных образов устройств) и извлекли ключ из содержащейся в ней базы данных.

«Аппаратные средства защиты устройств с новыми чипами Apple значительно повышают их устойчивость к кибератакам, хотя они не являются полностью неуязвимыми. Операция Триангуляция — это напоминание о том, как важно с осторожностью относиться к вложениям, которые приходят в iMessage из незнакомых источников. Выводы о стратегиях в этой кампании могут послужить ценным руководством для противодействия подобным атакам. Также повышению безопасности может поспособствовать поиск баланса между закрытостью системы и её доступности для исследователей», — комментирует Борис Ларин, эксперт по кибербезопасности «Лаборатории Касперского».

Чтобы помочь пользователям защититься, «Лаборатория Касперского» ранее опубликовала подробный отчёт об атаке и разработала специальную утилиту, благодаря которой можно проверить, не заражено ли устройство.

«Защита систем от продвинутых кибератак — непростая задача, особенно в случае закрытых систем, таких как iOS. Именно поэтому важно внедрять многоуровневые меры безопасности для обнаружения и предотвращения подобных инцидентов», — отмечает Игорь Кузнецов, руководитель Глобального исследовательского центра «Лаборатории Касперского».

Узнать больше про Операцию Триангуляция можно на сайте https://securelist.ru/operation-triangulation-catching-wild-triangle/108287/. «Лаборатория Касперского» планирует дальнейшую публикацию технических деталей и дополнительныех отчётов по своему исследованию.

Чтобы защититься от целевых атак, эксперты «Лаборатории Касперского» рекомендуют:

• регулярно обновлять операционную систему, приложения и антивирусное ПО, чтобы вовремя устранять уязвимости;
• с осторожностью относиться к электронным письмам, сообщениям или звонкам, в которых просят предоставить конфиденциальную информацию. Внимательно проверять отправителя, прежде чем делиться с кем-то данными или переходить по подозрительным ссылкам;
• обеспечить сотрудникам Центра управления безопасностью (SOC) доступ к информации об угрозах (TI). Например, на портале Kaspersky Threat Intelligence можно получить данные о кибератаках, собранные «Лабораторией Касперского» более чем за 20 лет;
• повышать квалификацию сотрудников, отвечающих за безопасность, в том числе по новейшим целевым угрозам. В этом могут помочь онлайн-тренинги, разработанные ведущими экспертами «Лаборатории Касперского»;
• использовать EDR-решения для выявления и реагирования на инциденты на уровне конечных устройств, такие как Kaspersky Endpoint Detection and Response.