Operasi Triangulasi: Para Ahli Mengungkap Wawasan Lebih Dalam tentang Serangan Zero-Day iOS

 

Implan TriangleDB digunakan untuk menargetkan perangkat Apple iOS yang dikemas dalam setidaknya empat modul berbeda untuk merekam mikrofon, mengekstrak Rantai Kunci iCloud, mencuri data dari database SQLite yang digunakan oleh berbagai aplikasi, dan memperkirakan lokasi korban.

 Temuan ini datang dari Kaspersky, yang merinci upaya besar yang dilakukan musuh di balik kampanye, yang dijuluki Operasi Triangulasi, untuk menyembunyikan dan menutupi jejaknya sambil secara diam-diam menyedot informasi sensitif dari perangkat yang disusupi.

 Serangan canggih ini pertama kali terungkap pada bulan Juni 2023, ketika diketahui bahwa iOS telah menjadi sasaran eksploitasi zero-click yang mempersenjatai kelemahan keamanan zero-day (CVE-2023-32434 dan CVE-2023-32435) yang memanfaatkan platform iMessage untuk mengirimkan lampiran berbahaya yang dapat memperoleh kendali penuh atas perangkat dan data pengguna.

 Skala dan identitas pelaku ancaman saat ini tidak diketahui, meskipun Kaspersky sendiri menjadi salah satu target pada awal tahun ini, mendorongnya untuk menyelidiki berbagai komponen dari apa yang disebutkan dalam ancaman persisten tingkat lanjut (APT) yang berfitur lengkap. platform.

 Inti dari kerangka serangan ini merupakan pintu belakang yang disebut TriangleDB yang diterapkan setelah penyerang mendapatkan hak akses root pada perangkat iOS target dengan mengeksploitasi CVE-2023-32434, kerentanan kernel yang dapat disalahgunakan untuk mengeksekusi kode arbitrer.

Kini, menurut perusahaan keamanan siber Rusia, penerapan implan tersebut didahului oleh dua tahap validator, yaitu JavaScript Validator dan Binary Validator, yang dijalankan untuk menentukan apakah perangkat target tidak terkait dengan lingkungan penelitian.

 “Validator ini mengumpulkan berbagai informasi tentang perangkat korban dan mengirimkannya ke server C2,” kata peneliti Kaspersky Georgy Kucherin, Leonid Bezvershenko, dan Valentin Pashkov dalam laporan teknis yang diterbitkan Senin.

 “Informasi ini kemudian digunakan untuk menilai apakah iPhone atau iPad yang akan ditanamkan dengan TriangleDB dapat menjadi perangkat penelitian. Dengan melakukan pemeriksaan tersebut, penyerang dapat memastikan bahwa eksploitasi zero-day mereka dan implan tersebut tidak terbakar.”

 Sebagai latar belakang: Titik awal rantai serangan adalah lampiran iMessage tak terlihat yang diterima korban, yang memicu rantai eksploitasi zero-click yang dirancang untuk secara diam-diam membuka URL unik yang berisi JavaScript yang dikaburkan serta muatan terenkripsi.

Payloadnya adalah validator JavaScript yang, selain melakukan berbagai operasi aritmatika dan memeriksa keberadaan Media Source API dan WebAssembly, melakukan teknik sidik jari browser yang disebut sidik jari kanvas dengan menggambar segitiga kuning pada latar belakang merah muda dengan WebGL dan menghitung checksumnya.

 Informasi yang dikumpulkan setelah langkah ini dikirim ke server jarak jauh untuk menerima, sebagai imbalannya, malware tahap berikutnya yang tidak diketahui. Juga dikirimkan setelah serangkaian langkah yang belum ditentukan adalah Binary Validator, file biner Mach-O yang menjalankan operasi di bawah ini -

• Hapus crash log dari direktori /private/var/mobile/Library/Logs/CrashReporter untuk menghapus jejak kemungkinan eksploitasi
• Hapus bukti lampiran iMessage berbahaya yang dikirim dari 36 alamat email berbeda Gmail, Outlook, dan Yahoo yang dikendalikan penyerang
• Dapatkan daftar proses yang berjalan pada perangkat dan antarmuka jaringan
• Periksa apakah perangkat target sudah di-jailbreak
• Aktifkan pelacakan iklan yang dipersonalisasi
• Kumpulkan informasi tentang perangkat (nama pengguna, nomor telepon, IMEI, dan ID Apple), dan
• Ambil daftar aplikasi yang diinstal

“Yang menarik dari tindakan ini adalah validator mengimplementasikannya untuk sistem iOS dan macOS,” kata para peneliti, seraya menambahkan bahwa hasil dari tindakan tersebut dienkripsi dan dieksfiltrasi ke server perintah-dan-kontrol (C2) untuk mengambil tindakan tersebut. Implan TriangleDB.

Salah satu langkah pertama yang diambil oleh pintu belakang adalah menjalin komunikasi dengan server C2 dan mengirimkan detak jantung, kemudian menerima perintah yang menghapus log kerusakan dan file database untuk menutupi jejak forensik dan menghambat analisis.

 Implan juga diberikan instruksi untuk mengekstrak file secara berkala dari direktori /private/var/tmp yang berisi lokasi, Rantai Kunci iCloud, data terkait SQL, dan data rekaman mikrofon.

 Fitur penting dari modul perekam mikrofon adalah kemampuannya untuk menunda perekaman saat layar perangkat dihidupkan, yang menunjukkan niat pelaku ancaman untuk tidak terdeteksi radar.

 Terlebih lagi, modul pemantauan lokasi diatur untuk menggunakan data GSM, seperti kode negara seluler (MCC), kode jaringan seluler (MNC), dan kode area lokasi (LAC), untuk melakukan pelacakan lokasi korban ketika data GPS tidak tersedia. . “Musuh di balik Triangulasi sangat berhati-hati untuk menghindari deteksi,” kata para peneliti.

 “Para penyerang juga menunjukkan pemahaman yang baik tentang internal iOS, karena mereka menggunakan API pribadi yang tidak berdokumen dalam serangan tersebut.”