Biuro Porad Prawnych
Oskar Zacharski

ul. Żwirki i Wigury 33/43
26-600 Radom

NIP: 7962987711

600 784 526

o.zacharski@bppz.pl

TriangleDB. Eksperci odkrywają tajemnicę ataków zero-day na iOS

TriangleDB to nazwa implantatu używanego do celów ataków na urządzenia z systemem iOS

Najnowszym odkrycie ekspertów ds. bezpieczeństwa cybernetycznego otwiera drzwi do nieznanego świata ataków zero-day. W centrum tego zainteresowania znajduje się implantat TriangleDB, który stanowi narzędzie do atakowania urządzeń Apple iOS. W tym artykule przyjrzymy się bliżej tym nowym odkryciom i poznamy ich potencjalne konsekwencje.

TriangleDB – Tajemniczy Implantat

TriangleDB to nazwa implantatu używanego do celów ataków na urządzenia z systemem iOS. To narzędzie nie tylko dostaje się do systemu, ale także zawiera cztery różne moduły, które umożliwiają rejestrowanie dźwięku z mikrofonu, wydobywanie danych z iCloud Keychain, kradzież informacji z baz danych SQLite wykorzystywanych przez różne aplikacje, oraz oszacowanie lokalizacji ofiary.

Narzędzie jest obecnie w centrum zainteresowań ekspertów ds. cyberbezpieczeństwa.

Przeczytaj także: Regulacja i bezpieczeństwo Cyfrowego Euro

Wyniki badań Kaspersky

Odkrycie implantatu TriangleDB i jego zdolności pochodzi od firmy Kaspersky. Firma szczegółowo opisała działania tajemniczej kampanii ataków, której nadano nazwę „Operacja Triangulacja”.

Badanie ukazało, że atakujący posuwają się naprawdę daleko, aby ukryć swoje ślady i w tajemnicy pozyskiwać wrażliwe informacje z kompromitowanych urządzeń.

Atak Zero-Day na iOS

Najważniejszym odkryciem jest fakt, że zaawansowany atak zero-day na system iOS wyszedł na jaw w czerwcu 2023 roku. Okazało się, że luki bezpieczeństwa zero-day (CVE-2023-32434 i CVE-2023-32435) zostały wykorzystane do zaatakowania iOS.

Atakujący wykorzystali platformę iMessage do dostarczenia złośliwego załącznika, który pozwolił im na całkowite przejęcie kontroli nad urządzeniem i danymi użytkownika.

Sprawcy ataku i Ich tajemnicza tożsamość

Obecnie nieznana jest zarówno skala, jak i tożsamość sprawcy ataku. Ciekawym elementem tej historii jest fakt, że firma Kaspersky również stała się celem ataku na początku roku, co zmusiło ich do dogłębnego zbadania różnych komponentów tego nowego typu zaawansowanego zagrożenia trwałego (APT).

W sercu tej zaawansowanej struktury ataku znajduje się tajemnicza tylna furtka o nazwie TriangleDB. Atakujący wdrażają ją, gdy uzyskają uprawnienia root na celowym urządzeniu z systemem iOS. Wykorzystują przy tym lukę w jądrze systemu oznaczoną jako CVE-2023-32434.

Obecnie nieznana jest zarówno skala, jak i tożsamość sprawcy ataku

Walidacja przed wdrożeniem

Proces wdrażania implantatu poprzedza etap walidacji, który obejmuje JavaScript Validator i Binary Validator. Te etapy są istotne, aby sprawdzić, czy docelowe urządzenie nie jest związane z środowiskiem badawczym. Dzięki tym walidatorom atakujący mogą uniknąć wykrycia swoich zero-day exploitów i implantatu.

Niewidzialny Załącznik iMessage

Początkiem ataku jest niewidzialny załącznik iMessage, który ofiara otrzymuje. Ten pozornie niewinny załącznik uruchamia cały łańcuch eksploatacji zero-click. Stanowi to punk wyjścia do ataku, który pozwala na dyskretne otwarcie unikalnego adresu URL zawierającego zaciemniony JavaScript oraz zaszyfrowany ładunek.

Szczegóły działania Implantatu

Warto również przyjrzeć się szczegółom działania implantatu. Przykładowe operacje, które wykonuje implantat, to usuwanie logów błędów, usuwanie śladów złośliwego załącznika iMessage oraz zbieranie różnych informacji na temat urządzenia, takich jak nazwa użytkownika, numer telefonu, IMEI, Apple ID, czy lista zainstalowanych aplikacji.

Troska o niewykrywalność

Atakujący wykazali również znaczną wiedzę o systemach iOS i macOS, korzystając z prywatnych, nieudokumentowanych interfejsów API. Dla nich niewykrywalność była priorytetem, co sprawia, że ich działania są jeszcze bardziej złożone i niebezpieczne.

Podsumowanie

Atak zero-day na iOS i wykorzystanie implantatu TriangleDB to poważne zagrożenie dla użytkowników Apple. Warto być świadomym takich zagrożeń i stosować środki ostrożności w celu ochrony swoich urządzeń i danych.

Eksperci ds. cyberbezpieczeństwa nadal badają tę sprawę, aby zrozumieć jej pełny zakres i znaleźć sposoby na obronę przed takimi atakami.

Źródło: The Hacker News

Redakcja BPPZ.pl