3 คะแนน โดย GN⁺ 2023-12-28 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Operation Triangulation เป็นแคมเปญที่ทำให้ iPhone ติดมัลแวร์ผ่าน iMessage เพียงอย่างเดียวเป็นเวลาอย่างน้อย 4 ปี โดยมีรายงานว่าอุปกรณ์ของพนักงาน Kaspersky และ iPhone ของเจ้าหน้าที่คณะผู้แทนทางการทูตและสถานทูตในรัสเซียได้รับผลกระทบ
  • การติดมัลแวร์เริ่มจาก ไฟล์แนบ iMessage ที่เป็นอันตราย ซึ่งถูกประมวลผลโดยที่ผู้ใช้ไม่ต้องทำอะไรเลย และเมื่อการติดมัลแวร์หายไปหลังรีบูต ผู้โจมตีจะส่งข้อความใหม่เพื่อทำให้ติดมัลแวร์อีกครั้งและคงการเข้าถึงไว้
  • Kaspersky วิเคราะห์ว่าเชนนี้ใช้ zero-day 4 รายการ และ Apple ได้แพตช์ CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 และ CVE-2023-41990 ทั้งหมดแล้ว
  • จุดเจาะทะลวงที่สำคัญที่สุดคือช่องโหว่ใน ฟีเจอร์ฮาร์ดแวร์ ที่ไม่ได้มีการจัดทำเอกสารไว้ ทำให้ผู้โจมตีสามารถหลบเลี่ยงการป้องกันหน่วยความจำที่อิงฮาร์ดแวร์ของ iPhone และข้ามข้อจำกัดในการแก้ไขเคอร์เนลและการฉีดโค้ดอันตรายได้
  • ยังไม่สามารถระบุผู้ก่อเหตุได้ และต่อข้อสงสัยเรื่องการมีส่วนเกี่ยวข้องของ NSA และ Apple ทาง Kaspersky ระบุว่าไม่มีหลักฐาน ส่วน Apple ปฏิเสธข้อกล่าวหาเรื่องความร่วมมือ

วิธีการติดมัลแวร์ของ Operation Triangulation

  • Operation Triangulation เป็นชื่อที่ Kaspersky ตั้งให้กับมัลแวร์และแคมเปญที่ติดตั้งมัลแวร์นี้
  • การติดมัลแวร์ถูกส่งผ่าน ข้อความ iMessage และเชนเอ็กซ์พลอยต์ที่ซับซ้อนจะทำงานโดยที่ผู้รับไม่ต้องทำอะไรเลย
  • สปายแวร์ที่ติดตั้งแล้วจะส่งข้อมูลอ่อนไหวไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม
    • การบันทึกเสียงจากไมโครโฟน
    • รูปภาพ
    • ตำแหน่งทางภูมิศาสตร์
    • ข้อมูลอ่อนไหวอื่น ๆ
  • การติดมัลแวร์ไม่สามารถคงอยู่หลังการรีบูตได้ แต่ผู้โจมตีจะส่ง iMessage อันตรายใหม่ทันทีหลังอุปกรณ์เริ่มทำงานอีกครั้งเพื่อคงการติดมัลแวร์ไว้
  • การตรวจจับการติดมัลแวร์ทำได้ยากมาก แม้แต่สำหรับผู้ที่มีความเชี่ยวชาญด้านนิติวิทยาศาสตร์ดิจิทัลขั้นสูง
  • รายการตัวบ่งชี้การติดมัลแวร์ดูได้ที่หน้า Triangulation validators/modules ของ Kaspersky

zero-day 4 รายการและขอบเขตผลกระทบ

  • Kaspersky วิเคราะห์ว่า Triangulation ใช้ ช่องโหว่ zero-day ร้ายแรง 4 รายการ
  • Apple ได้แพตช์ช่องโหว่ทั้ง 4 รายการแล้ว
  • ช่องโหว่เหล่านี้และฟีเจอร์ฮาร์ดแวร์ลับมีอยู่ในหลายแพลตฟอร์มของ Apple นอกเหนือจาก iPhone ด้วย
    • Mac
    • iPod
    • iPad
    • Apple TV
    • Apple Watch
  • เอ็กซ์พลอยต์ที่ Kaspersky กู้คืนมาได้ถูกพัฒนาขึ้นโดยตั้งใจให้ทำงานบนอุปกรณ์เหล่านี้ได้ด้วย และ Apple ก็ได้แพตช์แพลตฟอร์มดังกล่าวเช่นกัน
  • Apple ปฏิเสธที่จะแสดงความคิดเห็นที่เกี่ยวข้อง

ฟีเจอร์ฮาร์ดแวร์ที่ไม่ได้จัดทำเอกสารไว้

  • ฟีเจอร์ฮาร์ดแวร์ที่ไม่เป็นที่รู้จัก ซึ่งผู้โจมตีใช้เป็นเป้าหมายได้รับการยืนยันว่าเป็นองค์ประกอบหลักของ Operation Triangulation
  • ช่องโหว่ในฟีเจอร์นี้มีบทบาทสำคัญที่ทำให้ผู้โจมตีหลบเลี่ยงการป้องกันหน่วยความจำที่อิงฮาร์ดแวร์ของอุปกรณ์ Apple ได้
  • กลไกป้องกันดังกล่าวถูกออกแบบมาให้ป้องกันการกระทำต่อไปนี้ แม้หลังจากอยู่ในสถานะที่สามารถจัดการหน่วยความจำเคอร์เนลได้แล้ว
    • การฉีดโค้ดอันตรายเข้าไปในโปรเซสอื่น
    • การแก้ไขโค้ดเคอร์เนล
    • การเปลี่ยนแปลงข้อมูลเคอร์เนลที่อ่อนไหว
  • นักวิจัยของ Kaspersky ต้องทำ reverse engineering อุปกรณ์ที่ติด Triangulation เป็นเวลาหลายเดือนจึงระบุฟีเจอร์นี้ได้
  • ที่อยู่ MMIO บางส่วนที่ผู้โจมตีใช้ไม่ได้อยู่ใน device tree ซึ่งอธิบายการกำหนดค่าฮาร์ดแวร์ในรูปแบบที่เครื่องอ่านได้
  • แม้ตรวจสอบซอร์สโค้ด อิมเมจเคอร์เนล และเฟิร์มแวร์เพิ่มเติม ก็ไม่พบการกล่าวถึงที่อยู่ MMIO เหล่านี้
  • Boris Larin สรุปว่าผู้โจมตีหลบเลี่ยงการป้องกันหน่วยความจำที่อิงฮาร์ดแวร์โดยเขียนข้อมูลที่ต้องการ ที่อยู่ทางกายภาพเป้าหมาย และแฮชของข้อมูลลงในรีจิสเตอร์ฮาร์ดแวร์ที่ไม่รู้จัก
  • Kaspersky เสนอความเป็นไปได้ว่าฟีเจอร์นี้อาจมีไว้เพื่อ การดีบักและทดสอบ สำหรับวิศวกร Apple หรือโรงงาน หรืออาจถูกรวมเข้ามาโดยไม่ได้ตั้งใจ แต่เนื่องจากเฟิร์มแวร์ไม่ได้ใช้ฟีเจอร์นี้ จึงยังยืนยันไม่ได้ว่าผู้โจมตีรู้เรื่องนี้ได้อย่างไร

ลำดับการทำงานของเชนเอ็กซ์พลอยต์

  • เชนเริ่มจากการใช้ CVE-2023-41990 ซึ่งเป็นช่องโหว่ในการใช้งานฟอนต์ TrueType ของ Apple เพื่อให้เกิดการรันโค้ดจากระยะไกล
    • ขั้นตอนนี้ใช้ return oriented programming และ jump oriented programming เพื่อหลบเลี่ยงกลไกป้องกันเอ็กซ์พลอยต์สมัยใหม่
    • สิทธิ์ในการรันอยู่ที่ระดับสิทธิ์ระบบขั้นต่ำ
  • ขั้นตอนถัดไปมุ่งเป้าไปที่เคอร์เนล iOS
    • CVE-2023-32434 เป็นช่องโหว่ memory corruption ใน XNU
    • CVE-2023-38606 เป็นช่องโหว่ในรีจิสเตอร์ MMIO ลับ ซึ่งทำให้หลบเลี่ยง Page Protection Layer ได้
  • จากนั้นเชนใช้ CVE-2023-32435 ซึ่งเป็นช่องโหว่ของ Safari เพื่อรันเชลล์โค้ด
  • เชลล์โค้ดที่สร้างขึ้นจะใช้ CVE-2023-32434 และ CVE-2023-38606 อีกครั้งเพื่อรับสิทธิ์ root และนำไปสู่การติดตั้งเพย์โหลดสปายแวร์ขั้นสุดท้าย
  • สรุปเชนของ Kaspersky มีลักษณะดังต่อไปนี้
    • ไฟล์แนบ iMessage ที่เป็นอันตรายถูกประมวลผลในแอปโดยไม่แสดงให้ผู้ใช้เห็น
    • มีการรันโค้ดจากระยะไกลโดยใช้คำสั่ง ADJUST ของฟอนต์ TrueType เฉพาะของ Apple
    • เอ็กซ์พลอยต์ JavaScript ถูกทำให้อ่านยากและมีขนาดประมาณ 11,000 บรรทัด โดยโค้ดส่วนใหญ่ใช้สำหรับการพาร์สและจัดการ JavaScriptCore และหน่วยความจำเคอร์เนล
    • ใช้ฟีเจอร์ดีบัก DollarVM ของ JavaScriptCore เพื่อจัดการหน่วยความจำ JavaScriptCore และรันฟังก์ชัน native API
    • ออกแบบมาให้รองรับทั้ง iPhone รุ่นเก่าและรุ่นใหม่ และยังรวมการหลบเลี่ยง Pointer Authentication Code สำหรับเอ็กซ์พลอยต์บนรุ่นใหม่ด้วย
    • เอ็กซ์พลอยต์เคอร์เนลในขั้นตอนสุดท้ายอยู่ในรูปแบบ mach object file มีขนาดและความสามารถมาก และมีเครื่องมือยูทิลิตีหลังการเอ็กซ์พลอยต์หลากหลายรายการ แต่ส่วนใหญ่ไม่ได้ถูกใช้งาน

ผู้ก่อเหตุและคำถามที่ยังค้างอยู่

  • Kaspersky ยังยืนยันไม่ได้ว่าผู้โจมตีรู้จักฟีเจอร์ฮาร์ดแวร์ที่ไม่ได้จัดทำเอกสารไว้ได้อย่างไร
  • Boris Larin กำลังพิจารณาความเป็นไปได้ของการรั่วไหลโดยไม่ตั้งใจในกระบวนการเผยแพร่เฟิร์มแวร์หรือซอร์สโค้ดในอดีต รวมถึงความเป็นไปได้ของการ reverse engineering ฮาร์ดแวร์
  • วัตถุประสงค์ที่แน่ชัดของฟีเจอร์นี้ยังไม่เป็นที่ทราบ
  • ยังยืนยันไม่ได้ว่าฟีเจอร์ดังกล่าวเป็นการกำหนดค่าพื้นฐานของ iPhone หรือถูกเปิดใช้งานผ่านองค์ประกอบฮาร์ดแวร์ของบุคคลที่สามอย่าง ARM CoreSight
  • National Coordination Center for Computer Incidents ของรัสเซียอ้างเมื่อเดือนมิถุนายน 2023 ว่าการโจมตีนี้เป็นส่วนหนึ่งของแคมเปญที่กว้างกว่าของ NSA และ FSB อ้างว่า Apple ให้ความร่วมมือกับ NSA
  • ตัวแทนของ Apple ปฏิเสธข้อกล่าวหาเรื่องความร่วมมือ
  • นักวิจัยของ Kaspersky เห็นว่าไม่มีหลักฐานสนับสนุนการมีส่วนเกี่ยวข้องของ NSA หรือ Apple
  • Larin กล่าวว่า ลักษณะเฉพาะของ Operation Triangulation ไม่ตรงกับรูปแบบแคมเปญที่รู้จัก จึงยังไม่สามารถระบุอย่างชัดเจนได้ในตอนนี้ว่าเป็นฝีมือของกลุ่มภัยคุกคามที่รู้จักกลุ่มใด
  • Larin ระบุว่า Kaspersky เคยค้นพบและรายงาน zero-day ที่ถูกใช้โจมตีจริงมากกว่า 30 รายการในผลิตภัณฑ์ของ Adobe, Apple, Google และ Microsoft แต่ประเมินว่าเชนนี้เป็น เชนการโจมตีที่ซับซ้อนที่สุด เท่าที่เคยพบมา

1 ความคิดเห็น

 
GN⁺ 2023-12-28
ความเห็นบน Hacker News
  • ความเห็น (ส่วนใหญ่) ถูกย้ายไปไว้ที่นี่แล้ว: Operation Triangulation: The last (hardware) mystery - https://news.ycombinator.com/item?id=38783112 - ธันวาคม 2023, 71 ความเห็น
  • บทความนี้ของ Dan Goodin จาก Ars Technica ยอดเยี่ยมจริง ๆ อ่านเหมือนการ ค่อย ๆ เปิดเผยข้อมูลทีละขั้น และแม้จะไม่ใช่โปรแกรมเมอร์ก็ยังตามอ่านได้จนจบ
    • Dan เก่งมากจริง ๆ เคยถูกสัมภาษณ์มาก่อน และสิ่งที่น่าประทับใจคือความใส่ใจของเขาในการเข้าใจ นัยทางเทคนิค แล้วถ่ายทอดให้ผู้อ่านทั่วไปอย่างถูกต้อง
      เขาไม่ใช่คนประเภทที่หมกมุ่นกับการตั้งหัวข้อเรียกคลิกเลย ต่างจากหลายคนที่พบในวงการวารสารศาสตร์เทคโนโลยี และ Ars โชคดีที่มีเขาอยู่
  • อยากลิงก์บทความที่มีรายละเอียดทางเทคนิคของ exploit หลักไว้ด้วย เป็นเรื่องการใช้ รีจิสเตอร์ GPU ระดับฮาร์ดแวร์ที่ไม่มีเอกสารกำกับ เพื่อเลี่ยงการป้องกันหน่วยความจำ: https://securelist.com/operation-triangulation-the-last-hard...
  • บทความของ Ars Technica เมื่อเดือนมิถุนายน 2023 ก็น่าอ่านประกอบเช่นกัน: https://arstechnica.com/information-technology/2023/06/click...