„კასპერსკის ლაბორატორიის“ ექსპერტებმა გვერდი აუარეს თავდამსხმელთა დაცვას „ოპერაცია ტრიანგულაციის“ კამპანიისას, რომელმაც გამოიყენა ხუთი დაუცველობა. ოთხი მათგანი აღმოჩნდა ადრე უცნობი ნულოვანი დღის დაუცველობა.
ჯერ კიდევ ამ ზაფხულს, „კასპერსკის ლაბორატორია“ იტყობინებოდა APT კამპანია „ოპერაცია ტრიანგულიაციის“ შესახებ, რომელსაც დაექვემდებარნენ iOS მოწყობილობები. თავდასხმებმა გამოიყენეს ექსპლოიტების განაწილების დახვეწილი მეთოდი iMessage შეტყობინებების საშუალებით, რაც არ მოითხოვდა მომხმარებლისგან რაიმე ქმედებას. შედეგად, თავდამსხმელებმა მოიპოვეს სრული კონტროლი მოწყობილობასა და მომხმარებლის მონაცემებზე. „კასპერსკის ლაბორატორიის“ გლობალური კვლევისა და ანალიზის გუნდის (GReAT) თანახმად, თავდამსხმელების მთავარი მიზანი ჯაშუშობა იყო. დიდი დრო დასჭირდა დეტალური ტექნიკური ანალიზის ჩატარებას შეტევის სირთულისა და iOS-ის დახურული ხასიათის გამო.
კომპანია გვაცნობებს, რომ ექსპერტების აზრით, საწყისი შესვლის წერტილი იყო დაუცველობა შრიფტის დამუშავების ბიბლიოთეკაში. მეორე ნაკლი აღმოაჩინეს მეხსიერების რუკების კოდში – უკიდურესად საშიში და ადვილად გამოსაყენებელი. ეს საშუალებას აძლევდა წვდომას მოწყობილობის ფიზიკურ მეხსიერებაზე. თავდამსხმელებმა ისარგებლეს კიდევ ორი დაუცველობით Apple-ის პროცესორის უახლესი ტექნიკის დაცვის გვერდის ავლით. ასევე გაირკვა, რომ iOS მოწყობილობების iMessage-ის საშუალებით დისტანციურად დაინფიცირების შესაძლებლობის გარდა, თავდამსხმელებს ჰქონდათ პლატფორმა თავდასხმების განსახორციელებლად Safari ვებ-ბრაუზერის მეშვეობით. ამის წყალობით შესაძლებელი გახდა დაუცველობის მეხუთე ნაწილის აღმოჩენა და გამოსწორება.
„კასპერსკის ლაბორატორიის“ შეტყობინების შემდეგ, Apple-მა ოფიციალურად გამოუშვა უსაფრთხოების განახლებები, რომლებიც ეხებოდა GreAT-ის მკვლევარების მიერ აღმოჩენილ ოთხ ნულოვანი დღის დაუცველობას (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990). ისინი შეეხნენ Apple-ის უამრავ პროდუქტს, მათ შორის iPhone, iPod, iPad, მოწყობილობებს MacOS, AppleTV და Apple Watch.
ამ დაუცველობის აღმოსაჩენად და იმის გასაგებად, თუ როგორ მოქმედებდნენ თავდამსხმელები, „კასპერსკის ლაბორატორიის“ სპეციალისტებს დასჭირდათ გამომგონებლობა. კერძოდ, მათ სჭირდებოდათ ისეთი მეთოდების გამომუშავება, რომლებიც თავდამსხმელთა დაშიფვრის გვერდის ავლით იქნებოდა. ამოცანა გაართულა iOS-ის დახურულმა ბუნებამ. მაგალითად, ინფექციის ჯაჭვის დასაწყისიდან, iMessage-დან დანართის ამოსაღებად, საჭირო იყო შიფრული ტექსტის და AES დაშიფვრის გასაღების მიღება. პირველი კომპონენტი მიღებულ იქნა iCloud სერვერების ტრაფიკის ჩარევით mitmproxy-ის საშუალებით. გასაღებით იგივეს გაკეთება შეუძლებელი იყო, რადგან ის იგზავნება iMessage პროტოკოლით. ამიტომ, ექსპერტებმა მოიფიქრეს გზა, რითაც ხდებოდა დანართის დაშიფრული ტექსტის ჩამოტვირთვის პროცესის ჩაშლა, რათა გასაღები შენახულიყო SMS.db მონაცემთა ბაზაში. ამისათვის მათ შეცვალეს რამდენიმე ბაიტი შიფრულ ტექსტში mitmproxy დანამატის გამოყენებით, შემდეგ ჩამოტვირთეს iTunes სარეზერვო ასლი ინფიცირებული მოწყობილობიდან (ეს გამოიყენებოდა მოწყობილობის სრული სურათების ნაცვლად) და ამოიღეს გასაღები მასში შემავალი მონაცემთა ბაზიდან.
„Apple-ს ახალი ჩიპების მქონე მოწყობილობების ტექნიკის უსაფრთხოების მახასიათებლები მნიშვნელოვნად ზრდის მათ წინააღმდეგობას კიბერშეტევების მიმართ, თუმცა ისინი არ არიან სრულიად დაუცველი. „ოპერაცია ტრიანგულიაცია“ არის შეხსენება იმისა, თუ რამდენად მნიშვნელოვანია ფრთხილად იყოთ დანართების მიმართ, რომლებიც შემოდის iMessage-ში უცნობი წყაროებიდან. ამ კამპანიის სტრატეგიებიდან მიღებული დასკვნები შეიძლება გახდეს მნიშვნელოვანი სახელმძღვანელო მსგავსი თავდასხმების წინააღმდეგ საბრძოლველად. ასევე, სისტემის დახურულ ბუნებასა და მკვლევარებისთვის მის ხელმისაწვდომობას შორის ბალანსის პოვნამ შეიძლება ხელი შეუწყოს უსაფრთხოების გაუმჯობესებას“, – ამბობს „კასპერსკის ლაბორატორიის“ კიბერუსაფრთხოების ექსპერტი ბორის ლარინი.
მომხმარებლების თავის დასაცავად, კასპერსკის ლაბორატორიამ ადრე გამოაქვეყნა დეტალური ანგარიში თავდასხმის შესახებ და შეიმუშავა სპეციალური პროგრამა, რომელიც საშუალებას გაძლევთ შეამოწმოთ არის თუ არა თქვენი მოწყობილობა ინფიცირებული.
ოპერაციის სამკუთხედის შესახებ მეტი ინფორმაციისთვის ეწვიეთ https://securelist.com/operation-triangulation-catching-wild-triangle/110916/. „კასპერსკის ლაბორატორია“ გეგმავს შემდგომში გამოაქვეყნოს ტექნიკური დეტალები და დამატებითი ანგარიშები მისი კვლევის შესახებ.
