Tim za globalno istraživanje i analizu kompanije Kaspersky (GReAT) predstavio je do sada nepoznatu hardversku funkciju u Apple iPhone uređajima, ključnu za slučaj „Operacija Triangulacije“ (Operation Triangulation). Otkriće je predstavljeno na 37. Chaos Communication kongresu u Hamburgu.
Naime, GReAT tim je otkrio slabost Apple sistema na čipu ili SoC-u, koji je bio ključna komponenta nedavnih sajber napada na iPhone uređaje, poznatim kao „Operacija Triangulacije“, koji omogućava napadačima da zaobiđu hardversku zaštitu memorije na iPhone uređajima koji koriste iOS 16.6 verzije ili starije.
Otkrivena slabost je hardverska funkcija i pretpostavlja se da je bila namenjena testiranju ili otklanjanju grešaka. Nakon inicijalnog 0-click iMessage napada i naknadne eskalacije, napadači su iskoristili ovu slabost da zaobiđu sigurnosne zaštite, što im je omogućilo da manipulišu sadržajem zaštićene memorije. Ovaj potez je bio ključan za dobijanje potpune kontrole nad uređajem. Apple je naknadno rešio problem, koji je kasnije identifikovan kao CVE-2023-38606.
Prema podacima kompanije Kaspersky, ova hardverska funkcija nije javno dokumentovana, što predstavlja značajan izazov u njenom otkrivanju i analizi korišćenjem konvencionalnih bezbednosnih metoda. Istraživači GReAT-a su se bavili opsežnim obrnutim inženjeringom, pomno analizirajući integraciju hardvera i softvera iPhone-a, posebno se fokusirajući na Memory-Mapped I/O ili MMIO, adrese, koje su ključne za omogućavanje efikasne komunikacije između CPU-a i perifernih uređaja u sistemu.
Nepoznate MMIO adrese, koje su napadači koristili da zaobiđu hardversku zaštitu kernel memorije, nisu identifikovane ni u jednom opisu uređaja, što je predstavljalo veliki izazov za istraživače. GReAT Tim je morao da dešifruje složen rad Security Operation centra i njegovu interakciju sa iOS operativnim sistemom, posebno u vezi upravljanja memorijom i mehanizama zaštite. Ovaj proces je uključivao temeljno ispitivanje različitih datoteka stabla uređaja, izvornih kodova, kernel-a i firmware-a, u potrazi za pronalaženjem bilo kakve reference na MMIO adrese.
„Zbog zatvorene prirode iOS ekosistema, proces otkrivanja je bio izazovan i dugotrajan, što je zahtevalo sveobuhvatno razumevanje hardverske i softverske arhitekture, jer ovo nije bila uobičajena pretnja. Ono što nas ovo otkriće uči je da čak i napredne hardverske zaštite zasnovane mogu biti neefikasne pred ovakvim vrstama napada, posebno kada postoje hardverske karakteristike koje omogućavaju napadačima da zaobiđu sisteme zaštite“, zaključuje Boris Larin, glavni istraživač bezbednosti iz tima GReAT iz kompanije Kaspersky.
Operacija Triangulacije je vrsta napredne, uporne pretnje ili Advanced Persistent Threat (APT) koji cilja iOS uređaje, a koji je Kaspersky otkrio još letos. Ova sofisticirana kampanja koristi eksploatacije bez potrebe da korisnici kliknu na link, a distribuiraju se preko iMessage-a, što omogućava napadačima da steknu potpunu kontrolu nad ciljanim uređajem i pristupe korisničkim podacima. Apple je reagovao izdavanjem bezbednosnih ispravki za rešavanje četiri ranjivosti koje su istraživači kompanije Kaspersky identifikovali nultog dana: CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 i CVE-2023-41990. Ove ranjivosti utiču na širok spektar Apple proizvoda, uključujući iPhone, iPod, iPad, macOS uređaje, Apple TV i Apple Watch. Kaspersky je obavestio kompaniju Apple o ranjivosti navedene hardverske funkcije, što je ubrzalo rešavanje problema.
Ako želite da saznate više o Operaciji Triangulacije i tehničkim detaljima analize, pročitajte izveštaj na Securelist.com.
Da ne biste bili žrtva ciljanog napada od strane poznatog ili nepoznatog aktera pretnje, istraživači kompanije Kaspersky preporučuju:
- Redovno ažurirajte svoj operativni sistem, aplikacije i antivirusni softver da biste zakrpili sve poznate ranjivosti.
- Omogućite svom SOC timu pristup najnovijim informacijama o pretnjama (TI). Kaspersky Threat Intelligence Portal je jedinstven za TI kompanije, pružajući podatke o sajber napadima i uvide koji su prikupljani preko 20 godina.
- Osposobite svoj tim za sajber bezbednost da se uhvati u koštac sa najnovijim ciljanim pretnjama uz Kaspersky online training, koju su razvili stručnjaci GReAT tima.
- Za endpoint detekciju, istragu i blagovremeno otklanjanje incidenata, primenite EDR rešenja kao što je Kaspersky Endpoint Detection and Response.
- Istražite upozorenja i pretnje koje su identifikovale bezbednosne kontrole Kaspersky’s Incident Response and Digital Forensics services da biste stekli što bolji uvid o pretnjama, kao i vrstama zaštite.
O kompaniji KasperskyKaspersky je globalna kompanija za sajber bezbednost i digitalnu privatnost osnovana 1997. godine. Obaveštajni podaci o potencijalnim pretnjama i bezbednosna ekspertiza kompanije Kaspersky se konstantno transformišu u inovativna rešenja i usluge za zaštitu Vlada, preduzeća kao i potrošača širom sveta. Sveobuhvatni bezbednosni portfolio kompanije uključuje vodeću zaštitu krajnjih korisnika, specijalizovane bezbednosne proizvode i usluge, kao i Cyber Immune rešenja za borbu protiv sofisticiranih digitalnih pretnji koje se neprestano razvijaju. Preko 400 miliona korisnika zaštićeno je Kaspersky tehnologijama, dok kompanija pruža pomoć preko 220.000 korporativnih klijenata da zaštite ono što im je najvažnije. Više informacija dostupno je na sajtu.