Najnowszym odkrycie ekspertów ds. bezpieczeństwa cybernetycznego otwiera drzwi do nieznanego świata ataków zero-day. W centrum tego zainteresowania znajduje się implantat TriangleDB, który stanowi narzędzie do atakowania urządzeń Apple iOS. W tym artykule przyjrzymy się bliżej tym nowym odkryciom i poznamy ich potencjalne konsekwencje.
TriangleDB – Tajemniczy Implantat
TriangleDB to nazwa implantatu używanego do celów ataków na urządzenia z systemem iOS. To narzędzie nie tylko dostaje się do systemu, ale także zawiera cztery różne moduły, które umożliwiają rejestrowanie dźwięku z mikrofonu, wydobywanie danych z iCloud Keychain, kradzież informacji z baz danych SQLite wykorzystywanych przez różne aplikacje, oraz oszacowanie lokalizacji ofiary.
Narzędzie jest obecnie w centrum zainteresowań ekspertów ds. cyberbezpieczeństwa.
Przeczytaj także: Regulacja i bezpieczeństwo Cyfrowego Euro
Wyniki badań Kaspersky
Odkrycie implantatu TriangleDB i jego zdolności pochodzi od firmy Kaspersky. Firma szczegółowo opisała działania tajemniczej kampanii ataków, której nadano nazwę „Operacja Triangulacja”.
Badanie ukazało, że atakujący posuwają się naprawdę daleko, aby ukryć swoje ślady i w tajemnicy pozyskiwać wrażliwe informacje z kompromitowanych urządzeń.
Atak Zero-Day na iOS
Najważniejszym odkryciem jest fakt, że zaawansowany atak zero-day na system iOS wyszedł na jaw w czerwcu 2023 roku. Okazało się, że luki bezpieczeństwa zero-day (CVE-2023-32434 i CVE-2023-32435) zostały wykorzystane do zaatakowania iOS.
Atakujący wykorzystali platformę iMessage do dostarczenia złośliwego załącznika, który pozwolił im na całkowite przejęcie kontroli nad urządzeniem i danymi użytkownika.
Sprawcy ataku i Ich tajemnicza tożsamość
Obecnie nieznana jest zarówno skala, jak i tożsamość sprawcy ataku. Ciekawym elementem tej historii jest fakt, że firma Kaspersky również stała się celem ataku na początku roku, co zmusiło ich do dogłębnego zbadania różnych komponentów tego nowego typu zaawansowanego zagrożenia trwałego (APT).
W sercu tej zaawansowanej struktury ataku znajduje się tajemnicza tylna furtka o nazwie TriangleDB. Atakujący wdrażają ją, gdy uzyskają uprawnienia root na celowym urządzeniu z systemem iOS. Wykorzystują przy tym lukę w jądrze systemu oznaczoną jako CVE-2023-32434.
Walidacja przed wdrożeniem
Proces wdrażania implantatu poprzedza etap walidacji, który obejmuje JavaScript Validator i Binary Validator. Te etapy są istotne, aby sprawdzić, czy docelowe urządzenie nie jest związane z środowiskiem badawczym. Dzięki tym walidatorom atakujący mogą uniknąć wykrycia swoich zero-day exploitów i implantatu.
Niewidzialny Załącznik iMessage
Początkiem ataku jest niewidzialny załącznik iMessage, który ofiara otrzymuje. Ten pozornie niewinny załącznik uruchamia cały łańcuch eksploatacji zero-click. Stanowi to punk wyjścia do ataku, który pozwala na dyskretne otwarcie unikalnego adresu URL zawierającego zaciemniony JavaScript oraz zaszyfrowany ładunek.
Szczegóły działania Implantatu
Warto również przyjrzeć się szczegółom działania implantatu. Przykładowe operacje, które wykonuje implantat, to usuwanie logów błędów, usuwanie śladów złośliwego załącznika iMessage oraz zbieranie różnych informacji na temat urządzenia, takich jak nazwa użytkownika, numer telefonu, IMEI, Apple ID, czy lista zainstalowanych aplikacji.
Troska o niewykrywalność
Atakujący wykazali również znaczną wiedzę o systemach iOS i macOS, korzystając z prywatnych, nieudokumentowanych interfejsów API. Dla nich niewykrywalność była priorytetem, co sprawia, że ich działania są jeszcze bardziej złożone i niebezpieczne.
Podsumowanie
Atak zero-day na iOS i wykorzystanie implantatu TriangleDB to poważne zagrożenie dla użytkowników Apple. Warto być świadomym takich zagrożeń i stosować środki ostrożności w celu ochrony swoich urządzeń i danych.
Eksperci ds. cyberbezpieczeństwa nadal badają tę sprawę, aby zrozumieć jej pełny zakres i znaleźć sposoby na obronę przed takimi atakami.
Źródło: The Hacker News
Redakcja BPPZ.pl
Najważniejsze informacje
- TriangleDB to zaawansowany implantat atakujący urządzenia iOS, wyposażony w cztery moduły: podsłuch, kradzież z iCloud Keychain, zbieranie danych z aplikacji i geolokalizacja.
- Atak zero-click odkryty przez Kaspersky w czerwcu 2023 r. (Operacja Triangulacja) wykorzystywał luki CVE-2023-32434 i CVE-2023-32435 w iOS.
- Złośliwy kod dostarczany jest przez niewidoczny załącznik w iMessage – bez żadnej interakcji użytkownika (zero-click).
- Atakujący stosują zaawansowaną walidację (JavaScript i Binary Validator), aby uniknąć wykrycia w środowiskach badawczych.
- Implantat usuwa logi, zbiera dane urządzenia (IMEI, Apple ID, numer telefonu) i korzysta z nieudokumentowanych funkcji iOS.
- Tożsamość sprawców i pełna skala ataku pozostają nieznane – odkrycie podkreśla zagrożenia związane z lukami w zamkniętych systemach mobilnych.
