4 yıl süren iPhone arka kapı kampanyasında gelişmiş bir exploit zinciri kullanıldı
(arstechnica.com)- Operation Triangulation, en az 4 yıl boyunca yalnızca iMessage ile iPhone'ları enfekte eden bir kampanyaydı; Kaspersky çalışanlarının cihazları ile Rusya'daki diplomatik misyon ve büyükelçiliklerle bağlantılı kişilerin iPhone'larının etkilendiği bildirildi
- Enfeksiyon, kullanıcının hiçbir işlem yapmasına gerek kalmadan işlenen kötü amaçlı iMessage ek dosyası ile başladı ve yeniden başlatma sonrası bulaşma kaybolduğunda yeni bir mesaj gönderilerek yeniden enfekte edilip kalıcılık sağlandı
- Kaspersky, bu zincirin 4 sıfır gün kullandığını analiz etti; Apple ise CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 ve CVE-2023-41990 açıklarının tamamını yamaladı
- En kritik atılım, belgelenmemiş bir donanım özelliğindeki zafiyetti; bu sayede saldırganlar iPhone'un donanım tabanlı bellek korumasını aşarak çekirdek değişikliği ve kötü amaçlı kod enjeksiyonu sınırlamalarını geçebildi
- Saldırının faili belirlenemedi; NSA ve Apple'ın dahil olduğuna dair iddialar konusunda Kaspersky kanıt bulunmadığını söylerken, Apple iş birliği iddiasını reddetti
Operation Triangulation'ın bulaşma yöntemi
- Operation Triangulation, Kaspersky'nin kötü amaçlı yazılıma ve onu dağıtan kampanyaya verdiği isimdir
- Enfeksiyon iMessage mesajı ile iletildi ve alıcının hiçbir işlem yapmasına gerek kalmadan karmaşık bir exploit zinciri çalıştırıldı
- Kurulan casus yazılım hassas verileri saldırganın kontrol ettiği sunucuya gönderdi
- Mikrofon kayıtları
- Fotoğraflar
- Coğrafi konum
- Diğer hassas veriler
- Enfeksiyon yeniden başlatmadan sonra kalamıyordu, ancak saldırganlar cihaz yeniden açılır açılmaz yeni bir kötü amaçlı iMessage göndererek bulaşmayı sürdürdü
- Enfeksiyonu tespit etmek, ileri düzey adli analiz uzmanlığına sahip kişiler için bile çok zordu
- Göstergelerin listesi Kaspersky'nin Triangulation validators/modules sayfasında görülebilir
4 sıfır gün ve etki alanı
- Kaspersky, Triangulation'ın 4 kritik sıfır gün zafiyeti kullandığını analiz etti
- Apple bu 4 zafiyetin tamamını yamaladı
- Bu zafiyetler ve gizli donanım özelliği, iPhone dışında çeşitli Apple platformlarında da mevcuttu
- Mac
- iPod
- iPad
- Apple TV
- Apple Watch
- Kaspersky'nin elde ettiği exploit'ler bu cihazlarda da çalışacak şekilde kasıtlı olarak geliştirilmişti ve Apple ilgili platformları da yamaladı
- Apple bu konuda yorum yapmayı reddetti
Belgelenmemiş donanım özelliği
- Saldırganların hedef aldığı bilinmeyen bir donanım özelliği, Operation Triangulation'ın kilit unsuru olarak belirlendi
- Bu özelliğin zafiyeti, saldırganların Apple cihazlarının donanım tabanlı bellek korumasını aşmasında belirleyici rol oynadı
- Söz konusu koruma mekanizması, çekirdek belleğini değiştirebilecek duruma gelinse bile şu eylemleri engellemek üzere tasarlanmıştı
- Diğer süreçlere kötü amaçlı kod enjekte etmek
- Çekirdek kodunu değiştirmek
- Hassas çekirdek verilerini değiştirmek
- Kaspersky araştırmacıları, Triangulation ile enfekte olmuş cihazları aylar boyunca tersine mühendislik yaptıktan sonra bu özelliği tespit edebildi
- Saldırganların kullandığı bazı MMIO adresleri, donanım yapılandırmasını makinenin okuyabileceği şekilde açıklayan device tree içinde yer almıyordu
- Kaynak kodu, çekirdek imajı ve firmware üzerinde yapılan ek incelemelerde de bu MMIO adreslerine dair bir referans bulunamadı
- Boris Larin, saldırganların bilinmeyen donanım kayıtlarına istedikleri veriyi, hedef fiziksel adresi ve veri karmasını yazarak donanım tabanlı bellek korumasını aştığını özetledi
- Kaspersky, bu özelliğin Apple mühendisleri veya fabrika kullanımı için hata ayıklama ve test amaçlı olabileceğini ya da yanlışlıkla dahil edilmiş olabileceğini öne sürdü; ancak firmware bu özelliği kullanmadığı için saldırganların bunu nasıl öğrendiği belirlenemedi
Exploit zincirinin akışı
- Zincir önce Apple'ın TrueType yazı tipi uygulamasındaki CVE-2023-41990 zafiyetini kullanarak uzaktan kod çalıştırma elde etti
- Bu aşama, modern exploit savunmalarını aşmak için return oriented programming ve jump oriented programming kullandı
- Çalıştırma yetkisi en düşük sistem ayrıcalıkları düzeyindeydi
- Bir sonraki aşama iOS çekirdeğini hedef aldı
- CVE-2023-32434, XNU'da bir bellek bozulması zafiyetidir
- CVE-2023-38606, gizli MMIO kayıtlarındaki bir zafiyettir ve Page Protection Layer aşılmasını mümkün kılar
- Ardından zincir, shellcode çalıştırmak için Safari zafiyeti CVE-2023-32435'i kullandı
- Oluşturulan shellcode, tekrar CVE-2023-32434 ve CVE-2023-38606 kullanarak root erişimi elde etti ve nihai casus yazılım yükünün kurulmasına yol açtı
- Kaspersky'nin zincir özeti şu özellikleri içeriyordu
- Kötü amaçlı iMessage ek dosyası kullanıcıya gösterilmeden uygulama içinde işlendi
- Apple'a özel TrueType font komutu ADJUST kullanılarak uzaktan kod çalıştırma sağlandı
- JavaScript exploit'i obfuscate edilmişti, yaklaşık 11.000 satır büyüklüğündeydi ve kodun büyük bölümü JavaScriptCore ile çekirdek belleğini ayrıştırma ve manipüle etmeye ayrılmıştı
- JavaScriptCore'un hata ayıklama özelliği DollarVM kullanılarak JavaScriptCore belleği manipüle edildi ve native API işlevleri çalıştırıldı
- Hem eski hem yeni iPhone'ları destekleyecek şekilde tasarlanmıştı ve yeni modeller için Pointer Authentication Code atlatması da içeriyordu
- Son aşamadaki çekirdek exploit'i mach object file biçimindeydi; boyutu ve işlevleri büyüktü, çeşitli exploit sonrası yardımcı araçlar içeriyordu ancak bunların çoğu kullanılmadı
Saldırgan ve geriye kalan sorular
- Kaspersky, saldırganların belgelenmemiş donanım özelliğini nasıl öğrendiğini belirleyemedi
- Boris Larin, geçmişte firmware veya kaynak kodu ifşası sırasında yaşanan kazara açığa çıkma ihtimalini ve donanım tersine mühendisliği olasılığını değerlendiriyor
- Bu özelliğin tam amacı hâlâ bilinmiyor
- Bunun iPhone'un varsayılan yapılandırmasının parçası mı olduğu, yoksa ARM CoreSight gibi üçüncü taraf bir donanım bileşeni tarafından mı etkinleştirildiği de doğrulanmadı
- Rusya National Coordination Center for Computer Incidents, Haziran 2023'te bu saldırının NSA'in daha geniş bir kampanyasının parçası olduğunu iddia etti; FSB ise Apple'ın NSA ile iş birliği yaptığını öne sürdü
- Apple sözcüsü iş birliği iddiasını reddetti
- Kaspersky araştırmacıları, NSA veya Apple'ın dahline işaret eden bir kanıt olmadığını düşünüyor
- Larin, Operation Triangulation'ın kendine özgü özelliklerinin bilinen kampanya kalıplarıyla örtüşmediğini, bu nedenle şu an için bilinen bir tehdit aktörüne kesin biçimde atfedilemeyeceğini söyledi
- Larin, Kaspersky'nin Adobe, Apple, Google ve Microsoft ürünlerinde gerçek dünyada istismar edilen 30'dan fazla sıfır gün keşfedip bildirdiğini, ancak bu zinciri şimdiye kadar gördükleri en sofistike saldırı zinciri olarak değerlendirdiğini söyledi
1 yorum
Hacker News yorumları
Teknoloji gazeteciliğinde karşılaştığım pek çok kişi gibi tıklama tuzağı başlıkların peşinde koşan biri kesinlikle değil; Ars onu bünyesinde bulundurduğu için şanslı