Вся операция должна была продлиться до четырех лет. Команда исследователей «Лаборатории Касперского» объявила об обнаружении сложной атаки, которая позволила отслеживать несколько iPhone в течение четырех лет. Среди пострадавших — российские дипломаты, а также люди, работающие непосредственно в пострадавшей компании «Касперского». Хакеры получили беспрецедентный уровень доступа, воспользовавшись уязвимостью в недокументированной аппаратной функции, о которой мало кто, кроме сотрудников Apple и производителя чипов ARM, знал. По сообщениям «Лаборатории Касперского», сложность проблемы обнаруженной атаки в данном случае была огромной, а злоумышленники либо обладали отличными навыками, либо каким-то образом получили знания о ранее неизвестной особенности iPhone. Читайте также: ФБР расформировало известную банду вымогателей. Она представила хитрый инструмент… Однако непонятно, как хакеры могли о ней узнать. Эксперты рассматривают различные возможности, включая случайное обнаружение в предыдущих версиях прошивки или исходного кода, а также реверс-инжиниринг оборудования. Назначение этой аппаратной функции пока неизвестно. Неизвестно, является ли он неотъемлемой частью iPhone или активируется сторонним аппаратным компонентом, например ARM CoreSight. О бэкдорной кампании, которая, по словам российских чиновников, также затронула iPhone тысяч людей, работающих в дипломатических миссиях и посольствах в России, впервые стало известно в июне. Касперский утверждает, что в течение как минимум четырех лет заражения доставлялись через iMessages, которые устанавливали вредоносное ПО через сложную цепочку эксплойтов без необходимости предпринимать какие-либо действия получателю. Затем зараженные устройства использовались для кражи конфиденциальных данных, таких как записи с микрофона, фотографии, данные геолокации и многое другое. Хотя инфекция не пережила перезагрузку устройства, хакеры продолжили свою кампанию, отправляя новое вредоносное iMessage каждый раз при перезагрузке устройства. Хакеры воспользовались до четырех критических уязвимостей В кампании, получившей название «Триангуляция» Касперского, использовались четыре критические уязвимости. iPhone, а также компьютеры Mac, iPod, iPad, Apple TV и Apple Watch. Важную роль здесь сыграла неизвестная до сих пор аппаратная функция iPhone. Благодаря связанной с ней уязвимости «нулевого дня» хакеры смогли обойти расширенную аппаратную защиту памяти. предназначен для защиты целостности системы устройства. Сами эксперты «Лаборатории Касперского» узнали об этой функции только после нескольких месяцев реверс-инжиниринга зараженных устройств. Исследователи обнаружили, что несколько адресов MMIO, используемых злоумышленниками для обхода защиты памяти, не были идентифицированы ни в одном так называемом дереве устройств. Читайте также Мошенничество с QR-кодами Их цель — выманить конфиденциальные данные Сам эксплойт считается одним из самых изощренных за всю историю работы Касперского. Процесс заражения начался с эксплуатации уязвимости CVE-2023-41990, касающейся реализации шрифта TrueType. Затем злоумышленники воспользовались CVE-2023-32434, уязвимостью повреждения памяти в XNU, чтобы заблокировать возможные попытки восстановления памяти в ядре системы. Используя уязвимость CVE-2023-38606, обнаруженную в секретных реестрах MMIO, хакеры обошли уровни защиты, предотвращающие внедрение вредоносного кода и модификацию ядра. Кроме того, уязвимость CVE-2023-32435 в браузере Safari использовалась для выполнения шеллкода, который напрямую ссылался на ранее упомянутые уязвимости CVE-2023-38606 и CVE-2023-32434, чтобы получить код доступа для учетной записи root, необходимый для установки. вредоносное ПО.
