- Operation Triangulation adalah kampanye yang menginfeksi iPhone hanya melalui iMessage selama setidaknya 4 tahun; perangkat milik karyawan Kaspersky serta iPhone milik staf misi diplomatik dan kedutaan di Rusia dilaporkan terdampak
- Infeksi dimulai dari lampiran iMessage berbahaya yang diproses tanpa tindakan apa pun dari pengguna, dan dipertahankan dengan mengirim pesan baru untuk menginfeksi ulang saat infeksi hilang setelah reboot
- Kaspersky menganalisis bahwa rantai ini menggunakan 4 zero-day, dan Apple telah menambal semuanya: CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990
- Terobosan paling penting adalah kerentanan pada fitur hardware yang tidak terdokumentasi, yang memungkinkan penyerang melewati proteksi memori berbasis hardware di iPhone serta melampaui pembatasan terhadap modifikasi kernel dan injeksi kode berbahaya
- Pelaku serangan belum diidentifikasi; terkait dugaan keterlibatan NSA dan Apple, Kaspersky menyatakan tidak ada bukti, sementara Apple membantah klaim kerja sama
Cara infeksi Operation Triangulation
- Operation Triangulation adalah nama yang diberikan Kaspersky untuk malware dan kampanye yang memasangnya
- Infeksi dikirim melalui pesan iMessage, dan rantai eksploit yang kompleks dijalankan tanpa penerima melakukan tindakan apa pun
- Spyware yang terpasang mengirim data sensitif ke server yang dikendalikan penyerang
- Rekaman mikrofon
- Foto
- Lokasi geografis
- Data sensitif lainnya
- Infeksi tidak bertahan melewati reboot, tetapi penyerang mempertahankannya dengan mengirim iMessage berbahaya baru segera setelah perangkat dinyalakan ulang
- Deteksi infeksi sangat sulit bahkan bagi orang yang memiliki keahlian forensik tingkat lanjut
- Daftar indikator infeksi dapat dilihat di halaman Kaspersky Triangulation validators/modules
4 zero-day dan cakupan dampak
- Kaspersky menganalisis bahwa Triangulation menggunakan 4 kerentanan zero-day yang kritis
- Apple telah menambal keempat kerentanan tersebut
- Kerentanan ini dan fitur hardware rahasia tersebut ada di beberapa platform Apple selain iPhone
- Mac
- iPod
- iPad
- Apple TV
- Apple Watch
- Eksploit yang dipulihkan Kaspersky sengaja dikembangkan agar juga bekerja di perangkat-perangkat tersebut, dan Apple juga menambal platform terkait
- Apple menolak memberikan komentar terkait hal ini
Fitur hardware yang tidak terdokumentasi
- Fitur hardware yang tidak diketahui yang ditargetkan penyerang teridentifikasi sebagai elemen inti Operation Triangulation
- Kerentanan pada fitur ini memainkan peran menentukan dalam memungkinkan penyerang melewati proteksi memori berbasis hardware pada perangkat Apple
- Mekanisme proteksi tersebut dirancang untuk mencegah tindakan berikut, bahkan setelah kondisi yang memungkinkan manipulasi memori kernel tercapai
- Menyuntikkan kode berbahaya ke proses lain
- Memodifikasi kode kernel
- Mengubah data kernel yang sensitif
- Peneliti Kaspersky baru memahami fitur ini setelah melakukan reverse engineering pada perangkat yang terinfeksi Triangulation selama beberapa bulan
- Beberapa alamat MMIO yang digunakan penyerang tidak ada di device tree, yang menjelaskan konfigurasi hardware dalam format yang dapat dibaca mesin
- Pemeriksaan tambahan terhadap source code, kernel image, dan firmware juga tidak menemukan penyebutan alamat MMIO tersebut
- Boris Larin merangkum bahwa penyerang melewati proteksi memori berbasis hardware dengan menulis data yang diinginkan, alamat fisik target, dan hash data ke register hardware yang tidak diketahui
- Kaspersky mengemukakan kemungkinan bahwa fitur ini ditujukan untuk debugging dan pengujian oleh engineer Apple atau pabrik, atau mungkin tidak sengaja disertakan, tetapi karena firmware tidak menggunakan fitur ini, belum dapat dipastikan bagaimana penyerang mengetahuinya
Alur rantai eksploit
- Rantai ini pertama-tama memanfaatkan CVE-2023-41990, kerentanan pada implementasi font TrueType Apple, untuk mencapai eksekusi kode jarak jauh
- Tahap ini menggunakan return oriented programming dan jump oriented programming untuk melewati pertahanan eksploit modern
- Hak eksekusi berada pada tingkat hak sistem minimum
- Tahap berikutnya menargetkan kernel iOS
- CVE-2023-32434 adalah kerentanan memory corruption di XNU
- CVE-2023-38606 adalah kerentanan pada register MMIO rahasia, yang memungkinkan bypass Page Protection Layer
- Setelah itu, rantai ini menggunakan CVE-2023-32435, kerentanan Safari, untuk menjalankan shellcode
- Shellcode yang dihasilkan kembali menggunakan CVE-2023-32434 dan CVE-2023-38606 untuk mendapatkan akses root dan berujung pada pemasangan payload spyware final
- Ringkasan rantai dari Kaspersky mencakup karakteristik berikut
- Lampiran iMessage berbahaya diproses oleh aplikasi tanpa ditampilkan kepada pengguna
- Termasuk eksekusi kode jarak jauh menggunakan perintah font TrueType khusus Apple, ADJUST
- Eksploit JavaScript di-obfuscate dan berukuran sekitar 11.000 baris, dengan sebagian besar kode digunakan untuk parsing dan manipulasi JavaScriptCore serta memori kernel
- Memanfaatkan fitur debugging JavaScriptCore, DollarVM, untuk memanipulasi memori JavaScriptCore dan menjalankan fungsi API native
- Dirancang untuk mendukung iPhone lama maupun baru, serta mencakup bypass Pointer Authentication Code untuk eksploit pada model baru
- Eksploit kernel tahap akhir berbentuk mach object file, berukuran besar dan kaya fitur serta mencakup berbagai utilitas pasca-eksploit, tetapi sebagian besar tidak digunakan
Pelaku serangan dan pertanyaan yang tersisa
- Kaspersky belum dapat memastikan bagaimana penyerang mengetahui fitur hardware yang tidak terdokumentasi tersebut
- Boris Larin sedang meninjau kemungkinan paparan tidak sengaja melalui firmware lama atau proses publikasi source code, serta kemungkinan reverse engineering hardware
- Tujuan pasti fitur ini masih belum diketahui
- Belum dipastikan pula apakah fitur tersebut merupakan konfigurasi bawaan iPhone atau diaktifkan sebagai komponen hardware pihak ketiga seperti ARM CoreSight
- National Coordination Center for Computer Incidents Rusia pada Juni 2023 mengklaim serangan ini adalah bagian dari kampanye NSA yang lebih luas, dan FSB mengklaim Apple bekerja sama dengan NSA
- Perwakilan Apple membantah klaim kerja sama tersebut
- Peneliti Kaspersky menilai tidak ada bukti yang mendukung keterlibatan NSA atau Apple
- Larin mengatakan karakteristik unik Operation Triangulation tidak sesuai dengan pola kampanye yang sudah dikenal, sehingga untuk saat ini tidak dapat secara pasti diatribusikan kepada threat actor yang diketahui
- Larin menilai bahwa meskipun Kaspersky telah menemukan dan melaporkan lebih dari 30 zero-day yang benar-benar dieksploitasi pada produk Adobe, Apple, Google, dan Microsoft, rantai ini adalah rantai serangan paling canggih yang pernah ia lihat
1 komentar
Pendapat Hacker News
Dia sama sekali bukan tipe yang terobsesi mengejar judul sensasional seperti banyak orang yang saya temui di jurnalisme teknologi, dan Ars beruntung memilikinya