Im Rahmen einer vierjährigen Kampagne wurden iPhones mit der fortschrittlichsten Schwachstelle aller Zeiten hintertürig versehen

Forscher präsentierten am Mittwoch interessante neue Erkenntnisse zu einem vier Jahre andauernden Angriff, der Dutzende, wenn nicht Tausende von iPhones kompromittiert hatte, von denen viele Mitarbeitern des Moskauer Sicherheitsunternehmens Kaspersky gehörten. Zu den wichtigsten Entdeckungen zählt: Anonyme Angreifer konnten einen beispiellosen Zugriff erreichen, indem sie eine Schwachstelle in einer nicht authentifizierten Hardwarefunktion ausnutzten, von der außer Apple und Chiplieferanten wie ARM Holdings nur wenige, wenn nicht sogar jemand, wusste.

„Die Komplexität des Exploits und die Mehrdeutigkeit der Funktion lassen darauf schließen, dass die Angreifer über fortgeschrittene technische Fähigkeiten verfügen“, schrieb Boris Larin, Forscher bei Kaspersky, in einer E-Mail. „Unsere Analyse hat nicht ergeben, wie sie auf diese Funktion aufmerksam geworden sind, aber wir prüfen alle Möglichkeiten, einschließlich einer versehentlichen Offenlegung in früheren Firmware- oder Quellcodeversionen. Möglicherweise haben sie sie auch durch Reverse Engineering von Geräten gefunden.“

Vier Nulltage werden seit Jahren ausgenutzt

Andere Fragen blieben auch nach fast zwölf Monaten intensiver Ermittlungen unbeantwortet, schrieb Larraín. Abgesehen davon, wie Angreifer die Hardwarefunktion erlernen, wissen die Forscher immer noch nicht, wozu sie genau dient. Es ist auch nicht bekannt, ob die Funktion ein nativer Teil des iPhones ist oder durch eine Hardwarekomponente eines Drittanbieters wie CoreSight von ARM aktiviert wird.

Die Massen-Backdoor-Kampagne, die nach Angaben russischer Beamter auch die iPhones Tausender Menschen infizierte, die in diplomatischen Missionen und Botschaften in Russland arbeiteten, fand nach Angaben russischer Regierungsvertreter im Juni statt. Kaspersky sagte, dass über einen Zeitraum von mindestens vier Jahren Infektionen über iMessage-Skripte übermittelt wurden, die über eine komplexe Exploit-Kette Malware installierten, ohne dass der Empfänger etwas unternehmen musste.

Dadurch werden Geräte mit voll ausgestatteter Spyware infiziert, die unter anderem Mikrofonaufnahmen, Fotos, Geolokalisierung und andere sensible Daten an vom Angreifer kontrollierte Server überträgt. Obwohl die Infektionen den Neustart nicht überlebten, hielten die unbekannten Angreifer ihre Kampagne aufrecht, indem sie kurz nach dem Neustart der Geräte einfach eine neue schädliche Textnachricht an die Geräte schickten.

Eine am Mittwoch enthüllte neue Reihe von Details besagte, dass „Triangulation“ – der Name, den Kaspersky sowohl der Malware als auch der Kampagne, die sie installierte – gab, vier kritische Zero-Day-Schwachstellen ausnutzte, d . Zu Apple. Das Unternehmen hat seitdem alle vier Schwachstellen behoben, die wie folgt verfolgt werden:

Diese entscheidenden Zero-Day- und geheimen Hardwarefunktionen betrafen nicht nur iPhones, sondern waren auch in Macs, iPods, iPads, Apple TVs und Apple Watches vorhanden. Darüber hinaus wurden die von Kaspersky behobenen Schwachstellen bewusst so entwickelt, dass sie auch auf diesen Geräten funktionieren. Apple hat auch diese Plattformen gepatcht.

Die Erkennung einer Infektion ist selbst für Personen mit fortgeschrittener forensischer Erfahrung sehr schwierig. Für diejenigen, die es versuchen möchten, gibt es eine Liste mit Internetadressen, Dateien und anderen Kompromittierungsindikatoren Hier.

Die mysteriöse Funktion des iPhones erwies sich als ausschlaggebend für den Erfolg der Triangulation

Das interessanteste neue Detail ist die gezielte Ausrichtung auf ein bisher unbekanntes Hardware-Feature, das sich als entscheidend für die Triangulationskampagne erwiesen hat. Zero-Day in dieser Funktion ermöglichte es Angreifern, Bewerber zu umgehen Hardwarebasierter Speicherschutz Entwickelt, um die Integrität des Systems eines Geräts zu schützen, selbst wenn ein Angreifer die Möglichkeit erlangt, den Speicher des zugrunde liegenden Kernels zu manipulieren. Auf den meisten anderen Plattformen haben Angreifer, sobald sie eine Kernel-Schwachstelle erfolgreich ausnutzen, die vollständige Kontrolle über das kompromittierte System.

Auf Apple-Geräten, die mit diesem Schutz ausgestattet sind, sind diese Angreifer immer noch nicht in der Lage, wichtige Post-Exploitation-Techniken wie das Einschleusen von Schadcode in andere Prozesse oder das Ändern von Kernel-Code oder sensiblen Kernel-Daten durchzuführen. Dieser starke Schutz wurde umgangen, indem eine Schwachstelle in der Geheimfunktion ausgenutzt wurde. Der bei den bisher entdeckten Schwachstellen selten überwundene Schutz ist auch bei Apples M1- und M2-CPUs vorhanden.

Die Funktion der geheimen Geräte erfuhren die Kaspersky-Forscher erst nach Monaten intensiven Reverse Engineerings der mit dem Triad-Virus infizierten Geräte. Im Kurs wurden die Forscher auf sogenannte Hardware-Register aufmerksam gemacht, die Speicheradressen für Zentraleinheiten (CPUs) bereitstellen, um mit Peripheriekomponenten wie USB, Speichercontrollern und Grafikprozessoren zu interagieren. MMIOs, kurz für Memory Mapped Input/Output, ermöglichen es der CPU, in das spezifische Hardwareregister eines bestimmten Peripheriegeräts zu schreiben.

Die Forscher fanden heraus, dass viele der MMIO-Adressen, die Angreifer zur Umgehung des Speicherschutzes verwendeten, in keinem erkannt wurden Dokumentation des Gerätebaums, das als Referenz für Ingenieure dient, die Hardware oder Software für iPhones entwickeln. Selbst nachdem die Forscher die Quellcodes, Kernel-Images und Firmware genauer untersucht hatten, konnten sie keine Erwähnung von MMIO-Adressen finden.