แคมเปญแบ็กดอร์ iPhone ที่ดำเนินมานาน 4 ปี ใช้เชนเอ็กซ์พลอยต์ขั้นสูง
(arstechnica.com)- Operation Triangulation เป็นแคมเปญที่ทำให้ iPhone ติดมัลแวร์ผ่าน iMessage เพียงอย่างเดียวเป็นเวลาอย่างน้อย 4 ปี โดยมีรายงานว่าอุปกรณ์ของพนักงาน Kaspersky และ iPhone ของเจ้าหน้าที่คณะผู้แทนทางการทูตและสถานทูตในรัสเซียได้รับผลกระทบ
- การติดมัลแวร์เริ่มจาก ไฟล์แนบ iMessage ที่เป็นอันตราย ซึ่งถูกประมวลผลโดยที่ผู้ใช้ไม่ต้องทำอะไรเลย และเมื่อการติดมัลแวร์หายไปหลังรีบูต ผู้โจมตีจะส่งข้อความใหม่เพื่อทำให้ติดมัลแวร์อีกครั้งและคงการเข้าถึงไว้
- Kaspersky วิเคราะห์ว่าเชนนี้ใช้ zero-day 4 รายการ และ Apple ได้แพตช์ CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 และ CVE-2023-41990 ทั้งหมดแล้ว
- จุดเจาะทะลวงที่สำคัญที่สุดคือช่องโหว่ใน ฟีเจอร์ฮาร์ดแวร์ ที่ไม่ได้มีการจัดทำเอกสารไว้ ทำให้ผู้โจมตีสามารถหลบเลี่ยงการป้องกันหน่วยความจำที่อิงฮาร์ดแวร์ของ iPhone และข้ามข้อจำกัดในการแก้ไขเคอร์เนลและการฉีดโค้ดอันตรายได้
- ยังไม่สามารถระบุผู้ก่อเหตุได้ และต่อข้อสงสัยเรื่องการมีส่วนเกี่ยวข้องของ NSA และ Apple ทาง Kaspersky ระบุว่าไม่มีหลักฐาน ส่วน Apple ปฏิเสธข้อกล่าวหาเรื่องความร่วมมือ
วิธีการติดมัลแวร์ของ Operation Triangulation
- Operation Triangulation เป็นชื่อที่ Kaspersky ตั้งให้กับมัลแวร์และแคมเปญที่ติดตั้งมัลแวร์นี้
- การติดมัลแวร์ถูกส่งผ่าน ข้อความ iMessage และเชนเอ็กซ์พลอยต์ที่ซับซ้อนจะทำงานโดยที่ผู้รับไม่ต้องทำอะไรเลย
- สปายแวร์ที่ติดตั้งแล้วจะส่งข้อมูลอ่อนไหวไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม
- การบันทึกเสียงจากไมโครโฟน
- รูปภาพ
- ตำแหน่งทางภูมิศาสตร์
- ข้อมูลอ่อนไหวอื่น ๆ
- การติดมัลแวร์ไม่สามารถคงอยู่หลังการรีบูตได้ แต่ผู้โจมตีจะส่ง iMessage อันตรายใหม่ทันทีหลังอุปกรณ์เริ่มทำงานอีกครั้งเพื่อคงการติดมัลแวร์ไว้
- การตรวจจับการติดมัลแวร์ทำได้ยากมาก แม้แต่สำหรับผู้ที่มีความเชี่ยวชาญด้านนิติวิทยาศาสตร์ดิจิทัลขั้นสูง
- รายการตัวบ่งชี้การติดมัลแวร์ดูได้ที่หน้า Triangulation validators/modules ของ Kaspersky
zero-day 4 รายการและขอบเขตผลกระทบ
- Kaspersky วิเคราะห์ว่า Triangulation ใช้ ช่องโหว่ zero-day ร้ายแรง 4 รายการ
- Apple ได้แพตช์ช่องโหว่ทั้ง 4 รายการแล้ว
- ช่องโหว่เหล่านี้และฟีเจอร์ฮาร์ดแวร์ลับมีอยู่ในหลายแพลตฟอร์มของ Apple นอกเหนือจาก iPhone ด้วย
- Mac
- iPod
- iPad
- Apple TV
- Apple Watch
- เอ็กซ์พลอยต์ที่ Kaspersky กู้คืนมาได้ถูกพัฒนาขึ้นโดยตั้งใจให้ทำงานบนอุปกรณ์เหล่านี้ได้ด้วย และ Apple ก็ได้แพตช์แพลตฟอร์มดังกล่าวเช่นกัน
- Apple ปฏิเสธที่จะแสดงความคิดเห็นที่เกี่ยวข้อง
ฟีเจอร์ฮาร์ดแวร์ที่ไม่ได้จัดทำเอกสารไว้
- ฟีเจอร์ฮาร์ดแวร์ที่ไม่เป็นที่รู้จัก ซึ่งผู้โจมตีใช้เป็นเป้าหมายได้รับการยืนยันว่าเป็นองค์ประกอบหลักของ Operation Triangulation
- ช่องโหว่ในฟีเจอร์นี้มีบทบาทสำคัญที่ทำให้ผู้โจมตีหลบเลี่ยงการป้องกันหน่วยความจำที่อิงฮาร์ดแวร์ของอุปกรณ์ Apple ได้
- กลไกป้องกันดังกล่าวถูกออกแบบมาให้ป้องกันการกระทำต่อไปนี้ แม้หลังจากอยู่ในสถานะที่สามารถจัดการหน่วยความจำเคอร์เนลได้แล้ว
- การฉีดโค้ดอันตรายเข้าไปในโปรเซสอื่น
- การแก้ไขโค้ดเคอร์เนล
- การเปลี่ยนแปลงข้อมูลเคอร์เนลที่อ่อนไหว
- นักวิจัยของ Kaspersky ต้องทำ reverse engineering อุปกรณ์ที่ติด Triangulation เป็นเวลาหลายเดือนจึงระบุฟีเจอร์นี้ได้
- ที่อยู่ MMIO บางส่วนที่ผู้โจมตีใช้ไม่ได้อยู่ใน device tree ซึ่งอธิบายการกำหนดค่าฮาร์ดแวร์ในรูปแบบที่เครื่องอ่านได้
- แม้ตรวจสอบซอร์สโค้ด อิมเมจเคอร์เนล และเฟิร์มแวร์เพิ่มเติม ก็ไม่พบการกล่าวถึงที่อยู่ MMIO เหล่านี้
- Boris Larin สรุปว่าผู้โจมตีหลบเลี่ยงการป้องกันหน่วยความจำที่อิงฮาร์ดแวร์โดยเขียนข้อมูลที่ต้องการ ที่อยู่ทางกายภาพเป้าหมาย และแฮชของข้อมูลลงในรีจิสเตอร์ฮาร์ดแวร์ที่ไม่รู้จัก
- Kaspersky เสนอความเป็นไปได้ว่าฟีเจอร์นี้อาจมีไว้เพื่อ การดีบักและทดสอบ สำหรับวิศวกร Apple หรือโรงงาน หรืออาจถูกรวมเข้ามาโดยไม่ได้ตั้งใจ แต่เนื่องจากเฟิร์มแวร์ไม่ได้ใช้ฟีเจอร์นี้ จึงยังยืนยันไม่ได้ว่าผู้โจมตีรู้เรื่องนี้ได้อย่างไร
ลำดับการทำงานของเชนเอ็กซ์พลอยต์
- เชนเริ่มจากการใช้ CVE-2023-41990 ซึ่งเป็นช่องโหว่ในการใช้งานฟอนต์ TrueType ของ Apple เพื่อให้เกิดการรันโค้ดจากระยะไกล
- ขั้นตอนนี้ใช้ return oriented programming และ jump oriented programming เพื่อหลบเลี่ยงกลไกป้องกันเอ็กซ์พลอยต์สมัยใหม่
- สิทธิ์ในการรันอยู่ที่ระดับสิทธิ์ระบบขั้นต่ำ
- ขั้นตอนถัดไปมุ่งเป้าไปที่เคอร์เนล iOS
- CVE-2023-32434 เป็นช่องโหว่ memory corruption ใน XNU
- CVE-2023-38606 เป็นช่องโหว่ในรีจิสเตอร์ MMIO ลับ ซึ่งทำให้หลบเลี่ยง Page Protection Layer ได้
- จากนั้นเชนใช้ CVE-2023-32435 ซึ่งเป็นช่องโหว่ของ Safari เพื่อรันเชลล์โค้ด
- เชลล์โค้ดที่สร้างขึ้นจะใช้ CVE-2023-32434 และ CVE-2023-38606 อีกครั้งเพื่อรับสิทธิ์ root และนำไปสู่การติดตั้งเพย์โหลดสปายแวร์ขั้นสุดท้าย
- สรุปเชนของ Kaspersky มีลักษณะดังต่อไปนี้
- ไฟล์แนบ iMessage ที่เป็นอันตรายถูกประมวลผลในแอปโดยไม่แสดงให้ผู้ใช้เห็น
- มีการรันโค้ดจากระยะไกลโดยใช้คำสั่ง ADJUST ของฟอนต์ TrueType เฉพาะของ Apple
- เอ็กซ์พลอยต์ JavaScript ถูกทำให้อ่านยากและมีขนาดประมาณ 11,000 บรรทัด โดยโค้ดส่วนใหญ่ใช้สำหรับการพาร์สและจัดการ JavaScriptCore และหน่วยความจำเคอร์เนล
- ใช้ฟีเจอร์ดีบัก DollarVM ของ JavaScriptCore เพื่อจัดการหน่วยความจำ JavaScriptCore และรันฟังก์ชัน native API
- ออกแบบมาให้รองรับทั้ง iPhone รุ่นเก่าและรุ่นใหม่ และยังรวมการหลบเลี่ยง Pointer Authentication Code สำหรับเอ็กซ์พลอยต์บนรุ่นใหม่ด้วย
- เอ็กซ์พลอยต์เคอร์เนลในขั้นตอนสุดท้ายอยู่ในรูปแบบ mach object file มีขนาดและความสามารถมาก และมีเครื่องมือยูทิลิตีหลังการเอ็กซ์พลอยต์หลากหลายรายการ แต่ส่วนใหญ่ไม่ได้ถูกใช้งาน
ผู้ก่อเหตุและคำถามที่ยังค้างอยู่
- Kaspersky ยังยืนยันไม่ได้ว่าผู้โจมตีรู้จักฟีเจอร์ฮาร์ดแวร์ที่ไม่ได้จัดทำเอกสารไว้ได้อย่างไร
- Boris Larin กำลังพิจารณาความเป็นไปได้ของการรั่วไหลโดยไม่ตั้งใจในกระบวนการเผยแพร่เฟิร์มแวร์หรือซอร์สโค้ดในอดีต รวมถึงความเป็นไปได้ของการ reverse engineering ฮาร์ดแวร์
- วัตถุประสงค์ที่แน่ชัดของฟีเจอร์นี้ยังไม่เป็นที่ทราบ
- ยังยืนยันไม่ได้ว่าฟีเจอร์ดังกล่าวเป็นการกำหนดค่าพื้นฐานของ iPhone หรือถูกเปิดใช้งานผ่านองค์ประกอบฮาร์ดแวร์ของบุคคลที่สามอย่าง ARM CoreSight
- National Coordination Center for Computer Incidents ของรัสเซียอ้างเมื่อเดือนมิถุนายน 2023 ว่าการโจมตีนี้เป็นส่วนหนึ่งของแคมเปญที่กว้างกว่าของ NSA และ FSB อ้างว่า Apple ให้ความร่วมมือกับ NSA
- ตัวแทนของ Apple ปฏิเสธข้อกล่าวหาเรื่องความร่วมมือ
- นักวิจัยของ Kaspersky เห็นว่าไม่มีหลักฐานสนับสนุนการมีส่วนเกี่ยวข้องของ NSA หรือ Apple
- Larin กล่าวว่า ลักษณะเฉพาะของ Operation Triangulation ไม่ตรงกับรูปแบบแคมเปญที่รู้จัก จึงยังไม่สามารถระบุอย่างชัดเจนได้ในตอนนี้ว่าเป็นฝีมือของกลุ่มภัยคุกคามที่รู้จักกลุ่มใด
- Larin ระบุว่า Kaspersky เคยค้นพบและรายงาน zero-day ที่ถูกใช้โจมตีจริงมากกว่า 30 รายการในผลิตภัณฑ์ของ Adobe, Apple, Google และ Microsoft แต่ประเมินว่าเชนนี้เป็น เชนการโจมตีที่ซับซ้อนที่สุด เท่าที่เคยพบมา
1 ความคิดเห็น
ความเห็นบน Hacker News
เขาไม่ใช่คนประเภทที่หมกมุ่นกับการตั้งหัวข้อเรียกคลิกเลย ต่างจากหลายคนที่พบในวงการวารสารศาสตร์เทคโนโลยี และ Ars โชคดีที่มีเขาอยู่