«Лаборатория Касперского» поделилась подробностями об уязвимости «Операция триангуляция», которая была обнаружена в iOS и iPadOS несколько месяцев назад. В ФСБ подозревали, что эта уязвимость добавлена в операционные системы намеренно в качестве бэкдора, чтобы американские спецслужбы имели возможность перехватывать конфиденциальную информацию у российских чиновников и бизнесменов.
«Операция триангуляция» задействовала четыре уязвимости нулевого дня (то есть, такие, о которых не было известно компании Apple и экспертам по информационной безопасности). Атака позволяла получить удалённый доступ к заражённому устройству и собирать пользовательские данные через iMessage. С выпуском патчей, включённых в обновления iOS 16.5.1 и iPadOS 15.7.7, такая возможность была устранена.
Как осуществлялась атака через «Операцию триангуляцию»:
-
Хакер отправлял жертве вредоносное вложение через iMessage. Оно обрабатывалось без видимых признаков.
-
Вложение эксплуатировало незадокументированную инструкцию для шрифтов, позволяя отправлять на устройство вредоносный код. Именно эта инструкция была удалена с выпуском исправленных версий iOS и iPadOS.
-
Полученный от удалённого сервера код вносил изменения в библиотеку JavaScriptCore и повышал привилегии JavaScript на устройстве.
-
В дальнейшем манипуляции с устройством производились через память ядра и команды JavaScript, причём вредонос запутывал систему защиты iOS и iPadOS с помощью нечитаемого кода, который воспринимался как зашифрованный код, используемый в различных API-инструментах.
-
Вредонос получал доступ к физической памяти устройства из-за сбоев в работе ядра памяти и мог записывать произвольную информацию и считывать любые файлы, хранящиеся на устройстве.
-
В Safari в фоновом режиме запускался процесс, открывавший определённый сайт для скачивания дополнительного эксплойта, использующего ещё несколько уязвимостей операционной системы.
-
Эксплойт получал рут-права на устройстве и позволял злоумышленникам удалённо загружать на устройство приложения, которые могут работать незаметно в защищённом разделе оперативной памяти, никак не выдавая свою активность.
-
На устройство жертвы загружался набор приложений для слежки в зависимости от того, какую информацию необходимо получить хакеру.
Известно, что «Операция триангуляция» использовалась для слежки за журналистами, политиками и бизнесменами в разных странах мира. Кто стоял за этой атакой, так и остаётся невыясненным.