12月末、ハンブルグで開催された第37回Chaos Communication Congress(37C3)において、当社のグローバル調査分析チーム(GReAT)の専門家、Boris Larin、Leonid Bezvershenko、Grigoriy Kucherinが、「Operation Triangulation: What you get when attack iPhones of researchers(訳;攻撃活動オペレーション・トライアンギュレーション:リサーチャーのiPhoneを攻撃するとどうなるのか)」と題した講演を行いました。彼らは、攻撃の特徴や、それに関わるすべての脆弱性について説明しました。特に、攻撃者によるハードウェアの脆弱性CVE-2023-38606の悪用の詳細について初めて公表しました。
技術的な詳細については、Securelistのブログ記事(英語)をご覧いただくか、カンファレンスの公式サイトで講演の録音をお聞きください。ここでは要点を簡単にご説明します。
- 2023年夏の初めにすでに発表したように、この攻撃は目に見えないiMessageから始まります。そのiMessageには悪意のある添付ファイルが含まれており、ユーザーが知らないうちにスパイウェアがインストールされます。ユーザーからのアクションをまったく必要としない攻撃でした。
- 当社の専門家は、当社独自のSIEMソリューション、Kaspersky Unified Monitoring and Analysis Platform(KUMA)を使用して、企業のWi-Fiネットワークを監視することで、この攻撃を検知することができました。
-
この攻撃は、バージョン16.2までのすべてのiOSデバイスに影響を及ぼす4つのゼロデイ脆弱性(CVE-2023-32434、CVE-2023-32435、CVE-2023-41990、前述のCVE-2023-38606)を悪用していました。
- 難読化されたTriangulationのエクスプロイトは、最新バージョンのiPhoneでも、かなり古いモデルでも実行される可能性があります。また、新しいiPhoneを攻撃する場合、Pointer Authentication Code(ポインタ認証コード、PAC)を回避することができます。
- この脆弱性CVE-2023-32434を悪用することで、攻撃者は、ユーザーレベルでデバイスの物理メモリ全体にアクセスし、読み書きが可能になります。
- 4つすべての脆弱性を悪用したため、このマルウェアはユーザーのデバイスを完全に制御し、必要なマルウェアを実行することが可能でした。しかしその代わりにIMAgentプロセスを起動し、デバイスから攻撃の痕跡をすべて削除しました。また、バックグラウンドでSafariプロセスを起動し、Safariを悪用し、エクスプロイトに感染した攻撃者のWebページにリダイレクトしました。
- そしてこのSafariのエクスプロイトは、root権限を取得し、さらなる段階の攻撃を開始します(これについて詳しくは、こちらのSecurelistの記事をお読みください)。
- 脆弱性CVE-2023-38606については、文書化されていない、ファームウェアプロセッサレジスタ内の未使用のものを使用して、内蔵メモリ保護機能をバイパスすることを許可していました。当社の専門家によりますと、このハードウェア機能は、おそらくデバッグまたはテスト目的で作成され、何らかの理由で有効なままになっていたとみられています。
唯一残された謎は、一部の関係者にしか知りえない機能の情報を攻撃者がどのようにして手に入れたのかという点です。
続きは、Securelistの記事をご覧ください。