3 điểm bởi GN⁺ 2023-12-28 | 1 bình luận | Chia sẻ qua WhatsApp
  • Operation Triangulation là một chiến dịch lây nhiễm iPhone chỉ qua iMessage trong ít nhất 4 năm; được cho là đã ảnh hưởng đến thiết bị của nhân viên Kaspersky và iPhone của các nhân sự thuộc cơ quan ngoại giao, đại sứ quán tại Nga
  • Quá trình lây nhiễm bắt đầu từ tệp đính kèm iMessage độc hại được xử lý mà không cần người dùng thực hiện bất kỳ thao tác nào; nếu lây nhiễm biến mất sau khi khởi động lại, kẻ tấn công sẽ gửi tin nhắn mới để tái lây nhiễm và duy trì quyền kiểm soát
  • Kaspersky phân tích rằng chuỗi này đã sử dụng 4 zero-day, và Apple đã vá toàn bộ CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990
  • Điểm đột phá cốt lõi là một lỗ hổng trong tính năng phần cứng không được tài liệu hóa, cho phép kẻ tấn công vượt qua cơ chế bảo vệ bộ nhớ dựa trên phần cứng của iPhone, qua đó vượt các giới hạn đối với việc sửa kernel và chèn mã độc
  • Chưa xác định được chủ thể tấn công; trước nghi vấn NSA và Apple có liên quan, Kaspersky cho biết không có bằng chứng, còn Apple phủ nhận cáo buộc hợp tác

Cách Operation Triangulation lây nhiễm

  • Operation Triangulation là tên Kaspersky đặt cho mã độc và chiến dịch cài đặt mã độc đó
  • Lây nhiễm được truyền qua tin nhắn iMessage, và một chuỗi khai thác phức tạp được kích hoạt mà người nhận không cần làm gì
  • Spyware được cài đặt sẽ gửi dữ liệu nhạy cảm về máy chủ do kẻ tấn công kiểm soát
    • Ghi âm từ micro
    • Ảnh
    • Vị trí địa lý
    • Dữ liệu nhạy cảm khác
  • Lây nhiễm không tồn tại sau khi khởi động lại, nhưng kẻ tấn công duy trì bằng cách gửi iMessage độc hại mới ngay sau khi thiết bị khởi động lại
  • Việc phát hiện lây nhiễm rất khó ngay cả với người có chuyên môn pháp chứng số nâng cao
  • Danh sách chỉ báo lây nhiễm có thể xem trên trang Triangulation validators/modules của Kaspersky

4 zero-day và phạm vi ảnh hưởng

  • Kaspersky phân tích rằng Triangulation đã sử dụng 4 lỗ hổng zero-day nghiêm trọng
  • Apple đã vá cả 4 lỗ hổng
  • Các lỗ hổng này cùng tính năng phần cứng bí mật tồn tại trên nhiều nền tảng Apple khác ngoài iPhone
    • Mac
    • iPod
    • iPad
    • Apple TV
    • Apple Watch
  • Các exploit mà Kaspersky thu hồi được đã được chủ ý phát triển để hoạt động trên những thiết bị này, và Apple cũng đã vá các nền tảng tương ứng
  • Apple từ chối bình luận liên quan

Tính năng phần cứng không được tài liệu hóa

  • Một tính năng phần cứng chưa được biết đến mà kẻ tấn công nhắm tới được xác định là yếu tố cốt lõi của Operation Triangulation
  • Lỗ hổng trong tính năng này đóng vai trò quyết định giúp kẻ tấn công vượt qua cơ chế bảo vệ bộ nhớ dựa trên phần cứng của thiết bị Apple
  • Cơ chế bảo vệ này được thiết kế để ngăn các hành vi sau ngay cả khi đã có khả năng thao tác bộ nhớ kernel
    • Chèn mã độc vào tiến trình khác
    • Sửa mã kernel
    • Thay đổi dữ liệu kernel nhạy cảm
  • Các nhà nghiên cứu Kaspersky chỉ nhận diện được tính năng này sau nhiều tháng reverse engineering các thiết bị bị nhiễm Triangulation
  • Một số địa chỉ MMIO mà kẻ tấn công sử dụng không có trong device tree, nơi mô tả cấu hình phần cứng theo dạng máy có thể đọc
  • Kiểm tra thêm mã nguồn, kernel image và firmware cũng không phát hiện tham chiếu nào tới các địa chỉ MMIO đó
  • Boris Larin tóm tắt rằng kẻ tấn công vượt qua bảo vệ bộ nhớ dựa trên phần cứng bằng cách ghi dữ liệu mong muốn, địa chỉ vật lý đích và hash dữ liệu vào các thanh ghi phần cứng chưa rõ
  • Kaspersky nêu khả năng tính năng này phục vụ mục đích debug/kiểm thử cho kỹ sư Apple hoặc nhà máy, hoặc đã được đưa vào do nhầm lẫn; nhưng vì firmware không sử dụng tính năng này, họ chưa xác định được kẻ tấn công biết đến nó bằng cách nào

Luồng của chuỗi khai thác

  • Chuỗi trước tiên khai thác CVE-2023-41990, lỗ hổng trong triển khai font TrueType của Apple, để đạt thực thi mã từ xa
    • Giai đoạn này dùng return oriented programming và jump oriented programming để vượt các cơ chế phòng vệ exploit hiện đại
    • Quyền thực thi ở mức quyền hệ thống tối thiểu
  • Giai đoạn tiếp theo nhắm vào kernel iOS
    • CVE-2023-32434 là lỗ hổng hỏng bộ nhớ trong XNU
    • CVE-2023-38606 là lỗ hổng trong các thanh ghi MMIO bí mật, cho phép vượt qua Page Protection Layer
  • Sau đó chuỗi dùng lỗ hổng Safari CVE-2023-32435 để chạy shellcode
  • Shellcode được tạo tiếp tục dùng CVE-2023-32434 và CVE-2023-38606 để giành quyền truy cập root, dẫn tới cài đặt payload spyware cuối cùng
  • Tóm tắt chuỗi của Kaspersky bao gồm các đặc điểm sau
    • Tệp đính kèm iMessage độc hại được ứng dụng xử lý mà không hiển thị cho người dùng
    • Bao gồm thực thi mã từ xa bằng lệnh TrueType font ADJUST dành riêng cho Apple
    • Exploit JavaScript đã bị làm rối mã, dài khoảng 11.000 dòng, và phần lớn mã được dùng cho việc phân tích, thao tác JavaScriptCore và bộ nhớ kernel
    • Tận dụng tính năng debug DollarVM của JavaScriptCore để thao tác bộ nhớ JavaScriptCore và chạy các hàm API native
    • Được thiết kế để hỗ trợ cả iPhone đời cũ và đời mới, đồng thời bao gồm cả bypass Pointer Authentication Code cho exploit trên model mới
    • Kernel exploit ở giai đoạn cuối có dạng mach object file, quy mô và chức năng lớn, bao gồm nhiều tiện ích hậu khai thác khác nhau nhưng phần lớn không được sử dụng

Chủ thể tấn công và những câu hỏi còn lại

  • Kaspersky chưa xác định được kẻ tấn công đã biết tới tính năng phần cứng không được tài liệu hóa bằng cách nào
  • Boris Larin đang xem xét các khả năng như lộ lọt ngẫu nhiên trong quá trình công bố firmware hoặc mã nguồn trước đây, hay reverse engineering phần cứng
  • Mục đích chính xác của tính năng này vẫn chưa được biết
  • Cũng chưa xác định được liệu tính năng này là cấu hình mặc định của iPhone hay được kích hoạt bởi một thành phần phần cứng bên thứ ba như ARM CoreSight
  • National Coordination Center for Computer Incidents của Nga tuyên bố vào tháng 6/2023 rằng cuộc tấn công này là một phần trong chiến dịch rộng hơn của NSA, và FSB cáo buộc Apple đã hợp tác với NSA
  • Đại diện Apple phủ nhận cáo buộc hợp tác
  • Các nhà nghiên cứu Kaspersky cho rằng không có bằng chứng ủng hộ việc NSA hay Apple có liên quan
  • Larin nói rằng các đặc điểm độc đáo của Operation Triangulation không khớp với mẫu hình của các chiến dịch đã biết, nên hiện chưa thể quy kết chắc chắn cho một tác nhân đe dọa đã biết
  • Larin đánh giá rằng dù Kaspersky đã phát hiện và báo cáo hơn 30 zero-day bị khai thác thực tế trong các sản phẩm của Adobe, Apple, Google và Microsoft, chuỗi lần này là chuỗi tấn công tinh vi nhất mà ông từng thấy

1 bình luận

 
GN⁺ 2023-12-28
Ý kiến trên Hacker News
  • (Phần lớn) bình luận đã được chuyển sang đây: Operation Triangulation: The last (hardware) mystery - https://news.ycombinator.com/item?id=38783112 - tháng 12 năm 2023, 71 bình luận
  • Bài viết lần này của Dan Goodin trên Ars Technica thật sự xuất sắc. Bài đọc như một kiểu tiết lộ dần dần, và dù không phải lập trình viên tôi vẫn có thể theo đến cuối
    • Dan thật sự rất giỏi. Trước đây tôi từng được anh ấy phỏng vấn, và điều gây ấn tượng là sự quan tâm của anh ấy trong việc hiểu sắc thái kỹ thuật rồi truyền đạt chính xác cho độc giả phổ thông
      Anh ấy hoàn toàn không phải kiểu người chỉ chăm chăm câu view bằng tiêu đề như nhiều người tôi từng gặp trong giới báo chí công nghệ, và Ars thật may mắn khi có anh ấy
  • Tôi cũng muốn liên kết thêm bài viết có các chi tiết kỹ thuật của khai thác chính. Nội dung nói về việc dùng thanh ghi GPU phần cứng không được tài liệu hóa để vượt qua cơ chế bảo vệ bộ nhớ: https://securelist.com/operation-triangulation-the-last-hard...
  • Bài Ars Technica tháng 6 năm 2023 cũng đáng tham khảo: https://arstechnica.com/information-technology/2023/06/click...