Onderzoekers presenteerden woensdag interessante nieuwe bevindingen rond een vier jaar durende aanval die tientallen, zo niet duizenden iPhones in gevaar bracht, waarvan er vele toebehoorden aan medewerkers van het in Moskou gevestigde beveiligingsbedrijf Kaspersky. Een van de belangrijkste ontdekkingen: anonieme aanvallers konden een ongekend toegangsniveau bereiken door misbruik te maken van een kwetsbaarheid in een niet-geverifieerde hardwarefunctie waarvan weinig, zo niet iedereen, buiten Apple en chipleveranciers als ARM Holdings, op de hoogte was.
“De complexiteit van de exploit en de dubbelzinnigheid van de functie suggereren dat de aanvallers over geavanceerde technische mogelijkheden beschikken”, schreef Boris Larin, een onderzoeker bij Kaspersky, in een e-mail. “Onze analyse heeft niet onthuld hoe ze zich bewust zijn geworden van deze functie, maar we onderzoeken alle mogelijkheden, inclusief onbedoelde openbaarmaking in eerdere firmware- of broncodeversies. Ze hebben deze mogelijk ook gevonden door middel van reverse engineering van apparaten.”
Vier zero days worden al jaren uitgebuit
Andere vragen blijven onbeantwoord, zelfs na bijna twaalf maanden van intensief onderzoek, schreef Larraín. Naast hoe aanvallers de hardwarefunctie leren kennen, weten onderzoekers nog steeds niet het exacte doel ervan. Het is ook onbekend of de functie een eigen onderdeel van de iPhone is of mogelijk wordt gemaakt door een hardwarecomponent van derden, zoals ARM's CoreSight.
De massale achterdeurcampagne, die volgens Russische functionarissen ook de iPhones infecteerde van duizenden mensen die in diplomatieke missies en ambassades in Rusland werkten, ontstond in juni, aldus Russische regeringsfunctionarissen. Kaspersky zei dat gedurende een periode van minstens vier jaar infecties werden afgeleverd in iMessage-scripts die malware installeerden via een complexe exploitketen zonder dat de ontvanger enige actie hoefde te ondernemen.
Als gevolg hiervan worden apparaten geïnfecteerd met volledig functionele spyware, die onder andere microfoonopnames, foto's, geolocatie en andere gevoelige gegevens verzendt naar servers die door de aanvaller worden beheerd. Hoewel de infecties de herstart niet overleefden, hielden de onbekende aanvallers hun campagne in leven door eenvoudigweg een nieuw kwaadaardig sms-bericht naar de apparaten te sturen, kort nadat de apparaten opnieuw waren opgestart.
Een nieuwe reeks details onthulde woensdag dat “Triangulation” – de naam die Kaspersky gaf aan zowel de malware als de campagne die deze installeerde – misbruik maakte van vier kritieke zero-day-kwetsbaarheden, wat ernstige softwarefouten betekent die al eerder bekend waren bij aanvallers. . Naar Appel. Het bedrijf heeft sindsdien alle vier de kwetsbaarheden gepatcht, die als volgt worden bijgehouden:
Deze cruciale zero days en geheime hardwarefunctionaliteit waren niet alleen van invloed op iPhones, maar waren ook aanwezig op Macs, iPods, iPads, Apple TV's en Apple Watches. Bovendien zijn de door Kaspersky gevonden kwetsbaarheden doelbewust ontwikkeld om ook op die apparaten te werken. Apple heeft deze platforms ook gepatcht.
Het detecteren van een infectie is erg moeilijk, zelfs voor mensen met geavanceerde forensische ervaring. Voor degenen die het willen proberen, is er een lijst met internetadressen, bestanden en andere compromisindicatoren hier.
De mysterieuze functie van de iPhone bleek cruciaal voor het succes van de triangulatie
Het meest interessante nieuwe detail is de targeting van een tot nu toe onbekende hardwarefunctie, die cruciaal is gebleken voor de triangulatiecampagne. Met Zero-day in deze functie konden aanvallers aanvragers omzeilen Hardwaregebaseerde geheugenbescherming Ontworpen om de integriteit van het systeem van een apparaat te beschermen, zelfs nadat een aanvaller de mogelijkheid heeft gekregen om met het geheugen van de onderliggende kernel te knoeien. Op de meeste andere platforms hebben aanvallers, zodra ze met succes een kernelkwetsbaarheid hebben misbruikt, volledige controle over het aangetaste systeem.
Op Apple-apparaten die met deze beveiligingen zijn uitgerust, zijn deze aanvallers nog steeds niet in staat belangrijke post-exploitatietechnieken uit te voeren, zoals het injecteren van kwaadaardige code in andere processen of het wijzigen van kernelcode of gevoelige kernelgegevens. Deze sterke bescherming werd omzeild door misbruik te maken van een kwetsbaarheid in de geheime functie. De bescherming, die zelden is overwonnen in de tot nu toe ontdekte kwetsbaarheden, is ook aanwezig in de M1- en M2-CPU's van Apple.
Kaspersky-onderzoekers kenden de functie van de geheime apparaten pas na maanden van intensieve reverse engineering van de apparaten die besmet waren met het Triad-virus. In de cursus werd de aandacht van de onderzoekers gevestigd op zogenaamde hardwareregisters, die geheugenadressen leveren voor centrale verwerkingseenheden (CPU's) voor interactie met randcomponenten zoals USB, geheugencontrollers en grafische verwerkingseenheden. MMIO's, een afkorting van Memory Mapped Input/Output, zorgen ervoor dat de CPU naar het specifieke hardwareregister van een specifiek randapparaat kan schrijven.
De onderzoekers ontdekten dat veel van de MMIO-adressen die aanvallers gebruikten om de geheugenbeveiliging te omzeilen, in geen enkel systeem werden herkend Documentatie van de apparaatboom, dat dient als referentie voor ingenieurs die hardware of software voor iPhones maken. Zelfs nadat de onderzoekers verder in de broncodes, kernelimages en firmware hadden gekeken, konden ze geen enkele vermelding van MMIO-adressen vinden.
“Hipster-Friendly Explorer. Award-Winning Coffee Fanatic. Analyst. Problem Solver. Troublemaker.”
More Stories
Pokémon Go-spelers wijzigen openbare kaartgegevens om zeldzame Pokémon te vangen
Sony annuleert Helldivers 2 PSN-vereisten na reactie
Helldivers 2 uit 177 landen gehaald vanwege PSN-connectiviteitsvereisten, Arrowhead’s ‘praatoplossingen’