Новости Технический прорыв в Операции Триангуляция: «Лаборатория Касперского» обошла защиту злоумышленников

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Эксперты компании обнаружили уязвимости в iOS и эксплойты, лежащие в основе инцидента.


xgg8g7mra0eqj17kk1i3iw3rx94u9mpq.jpg


Специалисты из Глобального центра исследований и анализа угроз «Лаборатория Касперского» (GReAT) на конференции Security Analyst Summit (SAS) Для просмотра ссылки Войди или Зарегистрируйся детали анализа Для просмотра ссылки Войди или Зарегистрируйся . Они описали методики исследования атаки, благодаря которым были выявлены уязвимости в iOS и эксплойты, лежащие в основе инцидента. Эксперты также поделились данными о инструментах, которые помогли им исследовать закрытую операционную систему и преодолеть защитные механизмы противников, дабы проанализировать все этапы кампании.

Напомним, что летом «Лаборатория Касперского» Для просмотра ссылки Войди или Зарегистрируйся об APT-кампании Операция Триангуляция, затрагивающей устройства iOS. Злоумышленники использовали сложный метод распространения эксплойтов через iMessage, что не требовало активных действий от пользователей. В результате злоумышленники получали полный контроль над устройством и пользовательскими данными. По оценке GReAT, основной целью атакующих был шпионаж.

На конференции SAS специалисты «Лаборатории Касперского» представили технические детали многомесячного анализа, раскрывшего цепочку атаки с пятью уязвимостями, из которых четыре были ранее неизвестными уязвимостями нулевого дня. Первоначальной точкой входа была уязвимость в библиотеке обработки шрифтов, вторая - в коде отображения памяти (чрезвычайно опасная и простая в эксплуатации). Уязвимость позволяла получить доступ к физической памяти устройства.

Ещё двумя уязвимостями злоумышленники воспользовались для того, чтобы обойти новейшие средства аппаратной защиты процессора Apple . Также выяснилось, что, помимо возможности удалённо заражать устройства под управлением iOS через iMessage, у злоумышленников была платформа для совершения атак через веб-браузер Safari. Благодаря этому удалось обнаружить и исправить пятую из уязвимостей.

После уведомления от «Лаборатории Касперского», Apple выпустила обновления безопасности, исправляющие четыре уязвимости нулевого дня, обнаруженные исследователями GReAT (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990). Уязвимости затрагивали большое количество продуктов Apple, среди которых iPhone, iPod, iPad, устройства на Mac OS, Apple TV и Apple Watch.

Для выявления уязвимостей и понимания действий атакующих, специалистам «Лаборатории Касперского» пришлось проявить изобретательность, в частности, разработать методы обхода шифрования злоумышленников. Задачу усложняла закрытость iOS. Например, чтобы извлечь вложение из iMessage — начало цепочки заражения — нужно было заполучить зашифрованный текст и ключ для шифрования AES. Первый компонент удалось добыть, перехватив трафик к серверам iCloud через mitmproxy. Проделать то же самое с ключом было нельзя, поскольку он отправляется по протоколу iMessage. Поэтому эксперты придумали способ нарушить процесс загрузки зашифрованного текста вложения, чтобы ключ сохранился в базе данных SMS.db. Для этого они изменили несколько байт в зашифрованном тексте с помощью дополнения для mitmproxy, а затем загрузили резервную копию iTunes с заражённого устройства (они использовались вместо полных образов устройств) и извлекли ключ из содержащейся в ней базы данных.

В компании отметили, что аппаратные средства защиты в новых чипах Apple значительно улучшают устойчивость устройств к кибератакам, но не делают их полностью неуязвимыми. Операция Триангуляция служит напоминанием о важности осторожности с вложениями в iMessage от неизвестных источников. Полученные выводы могут быть полезны для противостояния подобным атакам, а также для поиска баланса между закрытостью системы и доступностью для исследователей.
 
Источник новости
www.securitylab.ru

Похожие темы