Technologia

Apple łata zero dni używane w atakach spyware na Kaspersky

oen.pl

  • 22 czerwca, 2023
  • 6 min read
Apple łata zero dni używane w atakach spyware na Kaspersky


Firma Apple wydała łatki dla dwóch luk zero-day, które były wykorzystywane w środowisku naturalnym do instalowania oprogramowania szpiegującego typu zero-click na urządzeniach z systemem iOS.

W środowej aktualizacji zabezpieczeń firma Apple zajęła się trzema aktywnie wykorzystywanymi lukami w zabezpieczeniach śledzonymi jako CVE-2023-32439, CVE-2023-32434 i CVE-2023-32435. Dwa ostatnie zostały przesłane przez badaczy z Kaspersky Lab, Georgy’ego Kucherina, Leonida Bezvershenko i Borisa Larina, którzy odkryli luki podczas badania podejrzanej aktywności pochodzącej z urządzeń iOS pracowników firmy Kaspersky.

Na początku tego miesiąca firma Kaspersky opublikowała badanie dotyczące kampanii spyware, którą sprzedawca nazwał „Operacją Triangulacja”, która rozpoczęła się w 2019 roku i nadal trwa. Podczas ataków nieznani cyberprzestępcy wdrażają oprogramowanie spyware Triangulation za pośrednictwem exploitów typu zero-click w iMessage, wykorzystując dwie luki w systemie iOS. Jeśli się powiedzie, początkowa wiadomość i exploit w załączniku zostaną usunięte.

To nie pierwszy raz, kiedy urządzenia Apple zostały zaatakowane przy użyciu exploita zero-day, zero-click, ponieważ oprogramowanie szpiegujące i ofensywni dostawcy zabezpieczeń od lat atakują użytkowników iPhone’a. W 2021 roku The Citizen Lab odkryło oprogramowanie szpiegowskie Pegasus firmy NSO Group na telefonie saudyjskiego aktywisty. Dwa miesiące później Apple wszczęło proces przeciwko izraelskiej firmie technologicznej.

Kampania Operation Triangulation przeciwko firmie Kaspersky łączy dwie luki w zabezpieczeniach.

Pierwsza, śledzona jako CVE-2023-32434, to luka polegająca na przepełnieniu liczb całkowitych, która może umożliwić atakującym wykonanie dowolnego kodu z uprawnieniami jądra. CVE-2023-32435 może również prowadzić do wykonania dowolnego kodu, ale wpływa na silnik przeglądarki Apple Webkit.

Warto przeczytać!  Microsoft zwalnia 1900 pracowników zajmujących się grami

„Apple jest świadomy raportu, że ten problem mógł być aktywnie wykorzystywany w wersjach iOS wydanych przed iOS 15.7”, napisał Apple w aktualizacji zabezpieczeń.

Dodatkowe informacje na temat „wyrafinowanego ataku” zostały podane w poście na blogu w środę przez Kucherina, Bezvershenkę i innego badacza firmy Kaspersky, Igora Kuzniecowa. Po wykryciu urządzeń pracowników firmy Kaspersky, badaczom zajęło pół roku odzyskanie jak największej liczby części łańcucha exploitów.

Częścią łańcucha jest implant firmy Kaspersky o nazwie „TriangleDB”, który jest instalowany w pamięci po tym, jak atakujący uzyskają uprawnienia roota do docelowych urządzeń z systemem iOS, wykorzystując lukę w jądrze, prawdopodobnie CVE-2023-32434. W poście na blogu podkreślono, że ponieważ TriangleDB jest wdrożony w pamięci, wszystkie ślady implantu zostaną utracone po ponownym uruchomieniu urządzenia.

„Dlatego, jeśli ofiara zrestartuje swoje urządzenie, atakujący muszą je ponownie zainfekować, wysyłając wiadomość iMessage ze złośliwym załącznikiem, uruchamiając w ten sposób ponownie cały łańcuch exploitów. W przypadku braku ponownego uruchomienia implant odinstalowuje się sam po 30 dniach, chyba że w tym okresie jest rozszerzany przez napastników” – napisali na blogu Kucherin, Bezvershenko i Kuznetsov.

Jedna sekcja środowego posta na blogu była poświęcona „dziwnym odkryciom”, które podkreślały niezwykłą terminologię kodu kampanii.

Warto przeczytać!  OnePlus 12 512 GB od 750 USD, Google Pixel 7 Pro taniej o 564 USD, kontroler gier na Androida, telewizory Smart TV i nie tylko

Badacze nazwali TriangleDB na cześć terminologii bazy danych, która była używana w całym kodzie. Innym ciekawym aspektem było to, w jaki sposób kod programistów spyware odnosił się do odszyfrowywania ciągów znaków jako „unmunging” i co to może oznaczać. Kucherin powiedział redakcji TechTarget, że twórcy złośliwego oprogramowania często szyfrują ciągi używane w kodzie, aby ukryć je przed analitykami.

„Podczas działania złośliwe oprogramowanie musi ukrywać te ciągi, aby móc z nich korzystać. Ten proces jest powszechnie nazywany „odszyfrowywaniem ciągów”, jednak twórcy kodu TriangleDB nazwali go „usuwaniem ciągów”” – powiedział Kucherin. „Fakt ten wskazuje, że twórcy używają dość nietypowej terminologii, odnosząc się do różnych funkcjonalności oprogramowania szpiegującego, jednak nie wiadomo, dlaczego używają tak niejasnej terminologii.”

Łańcuch infekcji Operation Triangulation wykryty przez badaczy z firmy Kaspersky.
Badacze z Kaspersky przeanalizowali łańcuch exploitów, który doprowadził do rozmieszczenia oprogramowania szpiegującego na urządzeniach iOS pracowników.

Rozszerzająca się powierzchnia ataku

Oprócz dziwnej terminologii badacze odkryli również wskazówki dotyczące wersji tego exploita dla komputerów Mac. Kucherin powiedział, że obecnie analizuje więcej komponentów, które mogą ujawnić dodatkowe szczegóły dotyczące wersji oprogramowania szpiegującego dla komputerów Mac.

„Podczas analizy TriangleDB odkryliśmy, że klasa CRConfig (używana do przechowywania konfiguracji implantu) ma metodę o nazwie populateWithFieldsMacOSOnly” – czytamy we wpisie na blogu. „Ta metoda nie jest nigdzie wywoływana w implancie iOS, jednak jej istnienie oznacza, że ​​​​urządzenia z systemem macOS mogą być również celem podobnego implantu”.

Paul Ducklin, główny naukowiec Sophos, potwierdził to odkrycie w czwartkowym poście na blogu, w którym omówiono zagrożenia związane z operacją Triangulation. Ponieważ Apple załatało każdy system przeciwko luce w jądrze, Ducklin powiedział, że „mądrze jest założyć”, że jeśli atakujący odkryją, jak wykorzystać lukę w systemie iOS, „mogą już mieć bardzo dobry pomysł, jak rozszerzyć swój atak na inne Apple platformy”.

Warto przeczytać!  Łódź Enigma Z20 z 1,5-calowym wyświetlaczem i funkcją połączeń Bluetooth wprowadzona na rynek w Indiach: cena, dane techniczne

Wiele aspektów kampanii skłoniło Ducklina do przekonania, że ​​osoby atakujące posiadały wcześniejszą wiedzę na temat exploitów dnia zerowego. Po pierwsze, exploit polegający na zerowym kliknięciu nie wymagał żadnej interakcji ze strony użytkownika, a luki można było uruchamiać zdalnie przez Internet.

Po drugie, Ducklin powiedział, że Apple ma środki bezpieczeństwa, takie jak jądra, które mają chronić urządzenia przed tego typu atakami.

„Zwykle ominięcie ograniczeń Apple Store i zasad separacji aplikacji oznacza znalezienie jakiegoś błędu zero-day na poziomie jądra” — napisał Ducklin na blogu. „Dlatego pwnowanie jądra ogólnie oznacza, że ​​​​atakujący mogą ominąć wiele lub większość kontroli bezpieczeństwa na urządzeniu, co skutkuje najszerszym i najniebezpieczniejszym rodzajem kompromisu”.

Badania firmy Kaspersky wciąż trwają, a Kucherin powiedział, że producent planuje ujawnić więcej informacji o kampanii w przyszłości. Jeśli chodzi o przypisanie operacji Triangulation, badacze nie są obecnie w stanie powiązać ataku z żadnym istniejącym ugrupowaniem cyberprzestępczym.

Arielle Waldman jest reporterką z Bostonu zajmującą się bezpieczeństwem przedsiębiorstw.


Źródło

Poprzedni artykuł

Następny artykuł