3 puan yazan GN⁺ 2023-12-28 | 1 yorum | WhatsApp'ta paylaş
  • Operation Triangulation, en az 4 yıl boyunca yalnızca iMessage ile iPhone'ları enfekte eden bir kampanyaydı; Kaspersky çalışanlarının cihazları ile Rusya'daki diplomatik misyon ve büyükelçiliklerle bağlantılı kişilerin iPhone'larının etkilendiği bildirildi
  • Enfeksiyon, kullanıcının hiçbir işlem yapmasına gerek kalmadan işlenen kötü amaçlı iMessage ek dosyası ile başladı ve yeniden başlatma sonrası bulaşma kaybolduğunda yeni bir mesaj gönderilerek yeniden enfekte edilip kalıcılık sağlandı
  • Kaspersky, bu zincirin 4 sıfır gün kullandığını analiz etti; Apple ise CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 ve CVE-2023-41990 açıklarının tamamını yamaladı
  • En kritik atılım, belgelenmemiş bir donanım özelliğindeki zafiyetti; bu sayede saldırganlar iPhone'un donanım tabanlı bellek korumasını aşarak çekirdek değişikliği ve kötü amaçlı kod enjeksiyonu sınırlamalarını geçebildi
  • Saldırının faili belirlenemedi; NSA ve Apple'ın dahil olduğuna dair iddialar konusunda Kaspersky kanıt bulunmadığını söylerken, Apple iş birliği iddiasını reddetti

Operation Triangulation'ın bulaşma yöntemi

  • Operation Triangulation, Kaspersky'nin kötü amaçlı yazılıma ve onu dağıtan kampanyaya verdiği isimdir
  • Enfeksiyon iMessage mesajı ile iletildi ve alıcının hiçbir işlem yapmasına gerek kalmadan karmaşık bir exploit zinciri çalıştırıldı
  • Kurulan casus yazılım hassas verileri saldırganın kontrol ettiği sunucuya gönderdi
    • Mikrofon kayıtları
    • Fotoğraflar
    • Coğrafi konum
    • Diğer hassas veriler
  • Enfeksiyon yeniden başlatmadan sonra kalamıyordu, ancak saldırganlar cihaz yeniden açılır açılmaz yeni bir kötü amaçlı iMessage göndererek bulaşmayı sürdürdü
  • Enfeksiyonu tespit etmek, ileri düzey adli analiz uzmanlığına sahip kişiler için bile çok zordu
  • Göstergelerin listesi Kaspersky'nin Triangulation validators/modules sayfasında görülebilir

4 sıfır gün ve etki alanı

  • Kaspersky, Triangulation'ın 4 kritik sıfır gün zafiyeti kullandığını analiz etti
  • Apple bu 4 zafiyetin tamamını yamaladı
  • Bu zafiyetler ve gizli donanım özelliği, iPhone dışında çeşitli Apple platformlarında da mevcuttu
    • Mac
    • iPod
    • iPad
    • Apple TV
    • Apple Watch
  • Kaspersky'nin elde ettiği exploit'ler bu cihazlarda da çalışacak şekilde kasıtlı olarak geliştirilmişti ve Apple ilgili platformları da yamaladı
  • Apple bu konuda yorum yapmayı reddetti

Belgelenmemiş donanım özelliği

  • Saldırganların hedef aldığı bilinmeyen bir donanım özelliği, Operation Triangulation'ın kilit unsuru olarak belirlendi
  • Bu özelliğin zafiyeti, saldırganların Apple cihazlarının donanım tabanlı bellek korumasını aşmasında belirleyici rol oynadı
  • Söz konusu koruma mekanizması, çekirdek belleğini değiştirebilecek duruma gelinse bile şu eylemleri engellemek üzere tasarlanmıştı
    • Diğer süreçlere kötü amaçlı kod enjekte etmek
    • Çekirdek kodunu değiştirmek
    • Hassas çekirdek verilerini değiştirmek
  • Kaspersky araştırmacıları, Triangulation ile enfekte olmuş cihazları aylar boyunca tersine mühendislik yaptıktan sonra bu özelliği tespit edebildi
  • Saldırganların kullandığı bazı MMIO adresleri, donanım yapılandırmasını makinenin okuyabileceği şekilde açıklayan device tree içinde yer almıyordu
  • Kaynak kodu, çekirdek imajı ve firmware üzerinde yapılan ek incelemelerde de bu MMIO adreslerine dair bir referans bulunamadı
  • Boris Larin, saldırganların bilinmeyen donanım kayıtlarına istedikleri veriyi, hedef fiziksel adresi ve veri karmasını yazarak donanım tabanlı bellek korumasını aştığını özetledi
  • Kaspersky, bu özelliğin Apple mühendisleri veya fabrika kullanımı için hata ayıklama ve test amaçlı olabileceğini ya da yanlışlıkla dahil edilmiş olabileceğini öne sürdü; ancak firmware bu özelliği kullanmadığı için saldırganların bunu nasıl öğrendiği belirlenemedi

Exploit zincirinin akışı

  • Zincir önce Apple'ın TrueType yazı tipi uygulamasındaki CVE-2023-41990 zafiyetini kullanarak uzaktan kod çalıştırma elde etti
    • Bu aşama, modern exploit savunmalarını aşmak için return oriented programming ve jump oriented programming kullandı
    • Çalıştırma yetkisi en düşük sistem ayrıcalıkları düzeyindeydi
  • Bir sonraki aşama iOS çekirdeğini hedef aldı
    • CVE-2023-32434, XNU'da bir bellek bozulması zafiyetidir
    • CVE-2023-38606, gizli MMIO kayıtlarındaki bir zafiyettir ve Page Protection Layer aşılmasını mümkün kılar
  • Ardından zincir, shellcode çalıştırmak için Safari zafiyeti CVE-2023-32435'i kullandı
  • Oluşturulan shellcode, tekrar CVE-2023-32434 ve CVE-2023-38606 kullanarak root erişimi elde etti ve nihai casus yazılım yükünün kurulmasına yol açtı
  • Kaspersky'nin zincir özeti şu özellikleri içeriyordu
    • Kötü amaçlı iMessage ek dosyası kullanıcıya gösterilmeden uygulama içinde işlendi
    • Apple'a özel TrueType font komutu ADJUST kullanılarak uzaktan kod çalıştırma sağlandı
    • JavaScript exploit'i obfuscate edilmişti, yaklaşık 11.000 satır büyüklüğündeydi ve kodun büyük bölümü JavaScriptCore ile çekirdek belleğini ayrıştırma ve manipüle etmeye ayrılmıştı
    • JavaScriptCore'un hata ayıklama özelliği DollarVM kullanılarak JavaScriptCore belleği manipüle edildi ve native API işlevleri çalıştırıldı
    • Hem eski hem yeni iPhone'ları destekleyecek şekilde tasarlanmıştı ve yeni modeller için Pointer Authentication Code atlatması da içeriyordu
    • Son aşamadaki çekirdek exploit'i mach object file biçimindeydi; boyutu ve işlevleri büyüktü, çeşitli exploit sonrası yardımcı araçlar içeriyordu ancak bunların çoğu kullanılmadı

Saldırgan ve geriye kalan sorular

  • Kaspersky, saldırganların belgelenmemiş donanım özelliğini nasıl öğrendiğini belirleyemedi
  • Boris Larin, geçmişte firmware veya kaynak kodu ifşası sırasında yaşanan kazara açığa çıkma ihtimalini ve donanım tersine mühendisliği olasılığını değerlendiriyor
  • Bu özelliğin tam amacı hâlâ bilinmiyor
  • Bunun iPhone'un varsayılan yapılandırmasının parçası mı olduğu, yoksa ARM CoreSight gibi üçüncü taraf bir donanım bileşeni tarafından mı etkinleştirildiği de doğrulanmadı
  • Rusya National Coordination Center for Computer Incidents, Haziran 2023'te bu saldırının NSA'in daha geniş bir kampanyasının parçası olduğunu iddia etti; FSB ise Apple'ın NSA ile iş birliği yaptığını öne sürdü
  • Apple sözcüsü iş birliği iddiasını reddetti
  • Kaspersky araştırmacıları, NSA veya Apple'ın dahline işaret eden bir kanıt olmadığını düşünüyor
  • Larin, Operation Triangulation'ın kendine özgü özelliklerinin bilinen kampanya kalıplarıyla örtüşmediğini, bu nedenle şu an için bilinen bir tehdit aktörüne kesin biçimde atfedilemeyeceğini söyledi
  • Larin, Kaspersky'nin Adobe, Apple, Google ve Microsoft ürünlerinde gerçek dünyada istismar edilen 30'dan fazla sıfır gün keşfedip bildirdiğini, ancak bu zinciri şimdiye kadar gördükleri en sofistike saldırı zinciri olarak değerlendirdiğini söyledi

1 yorum

 
GN⁺ 2023-12-28
Hacker News yorumları
  • Yorumların (çoğu) buraya taşınmış: Operation Triangulation: The last (hardware) mystery - https://news.ycombinator.com/item?id=38783112 - Aralık 2023, 71 yorum
  • Ars Technica’dan Dan Goodin’in bu yazısı gerçekten harika. Yazı kademeli açıklama tarzında okunuyor ve programcı olmamama rağmen sonuna kadar takip edebildim
    • Dan gerçekten müthiş. Eskiden kendisiyle röportaj yapmıştım; teknik nüansları anlama ve bunları genel okura doğru biçimde aktarma konusundaki ilgisi etkileyiciydi
      Teknoloji gazeteciliğinde karşılaştığım pek çok kişi gibi tıklama tuzağı başlıkların peşinde koşan biri kesinlikle değil; Ars onu bünyesinde bulundurduğu için şanslı
  • Ana exploit’in teknik ayrıntılarını da içeren yazıyı da linklemek isterim. Belgelenmemiş bir donanımsal GPU register’ı kullanarak bellek korumasını aşmayı anlatıyor: https://securelist.com/operation-triangulation-the-last-hard...
  • Haziran 2023 tarihli Ars Technica makalesi de bakmaya değer: https://arstechnica.com/information-technology/2023/06/click...