^{Фото: Unsplash}


«Лаборатория Касперского» поделилась подробностями об уязвимости «Операция триангуляция», которая была обнаружена в iOS и iPadOS несколько месяцев назад. В ФСБ подозревали, что эта уязвимость добавлена в операционные системы намеренно в качестве бэкдора, чтобы американские спецслужбы имели возможность перехватывать конфиденциальную информацию у российских чиновников и бизнесменов.

«Операция триангуляция» задействовала четыре уязвимости нулевого дня (то есть, такие, о которых не было известно компании Apple и экспертам по информационной безопасности). Атака позволяла получить удалённый доступ к заражённому устройству и собирать пользовательские данные через iMessage. С выпуском патчей, включённых в обновления iOS 16.5.1 и iPadOS 15.7.7, такая возможность была устранена.

Как осуществлялась атака через «Операцию триангуляцию»:

• Хакер отправлял жертве вредоносное вложение через iMessage. Оно обрабатывалось без видимых признаков.
• Вложение эксплуатировало незадокументированную инструкцию для шрифтов, позволяя отправлять на устройство вредоносный код. Именно эта инструкция была удалена с выпуском исправленных версий iOS и iPadOS.
• Полученный от удалённого сервера код вносил изменения в библиотеку JavaScriptCore и повышал привилегии JavaScript на устройстве.
• В дальнейшем манипуляции с устройством производились через память ядра и команды JavaScript, причём вредонос запутывал систему защиты iOS и iPadOS с помощью нечитаемого кода, который воспринимался как зашифрованный код, используемый в различных API-инструментах.
• Вредонос получал доступ к физической памяти устройства из-за сбоев в работе ядра памяти и мог записывать произвольную информацию и считывать любые файлы, хранящиеся на устройстве.
• В Safari в фоновом режиме запускался процесс, открывавший определённый сайт для скачивания дополнительного эксплойта, использующего ещё несколько уязвимостей операционной системы.
• Эксплойт получал рут-права на устройстве и позволял злоумышленникам удалённо загружать на устройство приложения, которые могут работать незаметно в защищённом разделе оперативной памяти, никак не выдавая свою активность.
• На устройство жертвы загружался набор приложений для слежки в зависимости от того, какую информацию необходимо получить хакеру.

Известно, что «Операция триангуляция» использовалась для слежки за журналистами, политиками и бизнесменами в разных странах мира. Кто стоял за этой атакой, так и остаётся невыясненным.

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым