«Лаборатория Касперского» взломана. Хакеры проникли в iPhone десятков ее сотрудников
Смартфоны iPhone, принадлежащие сотрудникам «Лаборатории Касперского», подверглись атаке при помощи нашумевшей уязвимости «Операция триангуляция». Точное количество взломанных устройств неизвестно, но их могут быть десятки. Уязвимость присутствовала в смартфонах Apple годами.
Мощный взлом «Касперского»
Смартфоны iPhone сотрудников «Лаборатории Касперского» подверглись массовой хакерской атаке. Злоумышленники проэксплуатировали широко известную уязвимость «Операция триангуляция», которая присутствовала в iOS на протяжении как минимум четырех лет. Apple закрыла ее лишь летом 2023 г. с релизом сборки iOS 16.5.1. Все подробности об этой уязвимости «Лаборатория Касперского» публикует на своем сайте Securelist, представляющем собой блог с отчетами об угрозах информационной безопасности, анализом угроз, реверс-инжинирингом вирусов и статистикой.
Как пишет портал Ars Technica, количество взломанных iPhone в «Касперском» может измеряться десятками. Факт взлома представители «Лаборатории Касперского» подтвердили CNews, но точное количество скомпрометированных устройств не назвали, не раскрыв также и последствия атаки. «В рамках этой вредоносной кампании действительно были скомпрометированы некоторые устройства сотрудников, вредоносная активность была обнаружена с помощью нашего решения KUMA», – сообщили CNews в «Лаборатории Касперского».
Слишком опасная уязвимость
«Операция триангуляция» – одна из самых проблемных уязвимостей, с которыми сталкивались пользователи iPhone за все 17 лет их существования. По информации «Лаборатории Касперского», сама брешь содержалась в недокументированной аппаратной функции iPhone, о которой мало кто знал за пределами Apple и поставщиков чипов для ее смартфонов, а также британской компании ARM – разработчика одноименной процессорной архитектуры.
Эксплуатация бреши наделяла хакеров беспрецедентным уровнем доступа. «Операция триангуляция» работает через iMessage (фирменный сервис Apple для обмена сообщениями и медиаконтентом) – хакеры отправляют вредоносное вложение, которое мессенджер обрабатывает в фоновом режиме, не уведомляя пользователя. После этого на устройстве активируется уязвимость удаленного выполнения кода CVE-2023-41990 в инструкции шрифта ADJUST TrueType.
Авторы эксплойта сделали его максимально запутанным, чтобы снизить вероятность обнаружения. Он состоит из 11 тыс. строк кода и разработан таким образом, чтобы работать как на самых современных, так и на устаревших моделях iPhone.
Взлом открывает хакерам полный доступ к устройству. Они могут запускать на нем любой нужный им код, устанавливать шпионское ПО и пр.
Крупномасштабная проблема
Эксплуатация хакерами уязвимости «Операция триангуляция» стала массовой, и точное количество жертв еще предстоит выяснить. По предварительным данным, их могут быть тысячи, и среди них вполне могут оказаться люди, работающих в дипломатических миссиях и посольствах в России.
Впервые о проблеме стало известно в июне 2022 г. По данным «Касперского», в течение как минимум четырех лет заражения доставлялись в текстовых сообщениях iMessage, которые устанавливали вредоносное ПО через сложную цепочку эксплойтов, не требуя от получателя каких-либо действий.
При этом устройства были заражены полнофункциональным шпионским ПО, которое, среди прочего, передавало записи с микрофона, фотографии, геолокацию и другие конфиденциальные данные на подконтрольные злоумышленникам серверы. Чаще всего хакеры теряли контроль над устройством после его перезагрузки, но им ничего не мешало отправить на конкретный iPhone еще одно вредоносное вложение через iMessage и восстановить доступ.
Одними iPhone все не ограничивается
В новой информации, опубликованной «Лабораторией Касперского» на сайте SecureList 27 декабря 2023 г, говорится, что название «Операция триангуляция» компания присвоила как самому вредоносному ПО, так и кампании по ее распространению. Оно отсылает одному из ключевых элементов, используемых в данной кампании – импланту TriangleDB.
Эксперты «Касперского» выяснили, что «Операция триангуляция» как кампания подразумевает эксплуатацию сразу четырех критических уязвимостей нулевого дня (такими называют уязвимости, против которых еще не разработаны защитные механизмы).
Из этого следует, что хакерам было известно о серьезных программных недостатках в iPhone еще до того, как о них прознала сама Apple. Упомянутые уязвимости – это CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 и CVE-2023-41990, и, что очень важно, встречаются они далеко не только в iPhone.
Как пишет Ars Technica, эти критические дыры в течение некоторого времени присутствовали в компьютерах Apple Mac, плеерах iPod, плашетах iPad, ТВ-приставках Apple TV и даже в умных часах Apple Watch. Более того, эксплойты, обнаруженные «Касперским», были специально разработаны для работы и на этих устройствах.
Apple уже выпустила патчи для всех своих операционных систем. Однако официальные комментарии на тему она не дает.
Хакеры на службе государства
В тот же день в июне 2023 г., когда Касперский впервые сообщил, что операция «Триангуляция» заразила iPhone ее сотрудников, представители Российского национального координационного центра по компьютерным инцидентам заявили, что атаки были частью более широкой кампании Агентства национальной безопасности США, в результате которой было заражено несколько тысяч iPhone. принадлежащих людям в дипломатических миссиях и посольствах в России, в частности представителям стран НАТО, постсоветских стран, Израиля и Китая. Как сообщал CNews, в отдельном сообщении Федеральной службы безопасности России (ФСБ), утверждалось, что Apple сотрудничала с АНБ в этой кампании. Представитель Apple опроверг это утверждение. Тем временем исследователи «Лаборатории Касперского» заявили, что у них нет доказательств, подтверждающих заявления о причастности АНБ или Apple.
Здесь нельзя не упомянуть, что в России в 2023 г. начался отказ от техники Apple в госсекторе. Многие компании стали запрещать своим сотрудникам пользоваться как минимум iPhone в служебных целях, мотивируя это возможностью слежки со стороны недружественных стран.