Эксперты Глобального центра исследований и анализа угроз «Лаборатории Касперского» обнаружили ранее неизвестную аппаратную функцию в айфонах Apple, критически важную в реализации кампании «Операция Триангуляция». Речь идет об уязвимости CVE-2023-38606. С ее помощью злоумышленники обходили аппаратную защиту некоторых областей памяти ядра в смартфонах iPhone до версии 16.6.
Обнаруженная уязвимость представляет собой не используемую в прошивке аппаратную функцию. Она, скорее всего, предназначалась для тестирования или отладки. После того как жертве приходило скрытое сообщение iMessage с zero-click эксплойтом во вложении и злоумышленники получали возможность исполнять код, они использовали эту аппаратную функцию для обхода средств защиты чипов Apple и манипулирования содержимым защищенных областей памяти.
Этот шаг был очень важен для получения полного контроля над устройством, уточняют эксперты. К счастью, сейчас Apple устранила опасную уязвимость.
Насколько известно «Лаборатории Касперского», функция не была задокументирована. Она не используется в прошивке и ее было трудно обнаружить и проанализировать традиционными методами. Эксперты не смогли узнать, как злоумышленники догадались о способах ее применения.
«Это не рядовая уязвимость. Из-за закрытого характера экосистемы iOS процесс ее поиска был сложным и длительным, он требовал всестороннего понимания как аппаратной, так и программной архитектуры. Данная уязвимость доказывает, что даже самые современные аппаратные средства защиты бессильны перед лицом изощренного злоумышленника, пока существуют аппаратные функции, позволяющие эти средства защиты обойти», — рассказывает Борис Ларин, ведущий исследователь киберугроз в «Лаборатории Касперского».
Операция Триангуляция — это APT-кампания, которой подверглись iOS-устройства. Для атак использовался сложный метод распространения эксплойтов через сообщения в iMessage с использованием четырех уязвимостей нулевого дня для устройств iOS до версии 16.2. При этом от пользователей не требовалось никаких действий.
Злоумышленники получали полный контроль над устройством и пользовательскими данными. После уведомления от «Лаборатории Касперского» компания Apple официально выпустила обновления безопасности, которые устраняли четыре уязвимости нулевого дня, обнаруженные исследователями GReAT (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990). Они затрагивали большое количество продуктов Apple, среди которых iPhone, iPod, iPad, устройства на macOS, Apple TV и Apple Watch.
Как защититься от целевых атак злоумышленников
Эксперты «Лаборатории Касперского» рекомендуют выполнять следующие действия:
- регулярно обновлять операционную систему, приложения и антивирусное ПО, чтобы вовремя устранять уязвимости;
- обеспечивать сотрудникам центра управления безопасностью (SOC) доступ к информации об угрозах (TI);
- повышать квалификацию сотрудников, отвечающих за безопасность, в том числе по новейшим целевым угрозам;
- использовать EDR-решения для выявления и реагирования на инциденты на уровне конечных устройств;
- изучать уведомления о киберугрозах для получения глубокой аналитики.