Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

iOS Zero-Day-Angriffe: : Experten liefern Einblicke in „Operation Triangulation“

Die Spyware TriangleDB, mit dem Apple iOS-Geräte angegriffen werden, enthält mindestens vier verschiedene Module, um Aktivitäten des Mikrofons aufzuzeichnen, den iCloud-Schlüsselbund zu extrahieren, Daten aus SQLite-Datenbanken zu stehlen, die von verschiedenen Apps verwendet werden, und den Standort des Opfers zu ermitteln.

Lesezeit 4 Min.

Die neuesten Informationen zur Kampagne, die als „Operation Triangulation“ bekannt ist, stammen von Kaspersky. Das Unternehmen beschreibt ausführlich, welche erheblichen Anstrengungen der Angreifer unternahm, um seine Aktivitäten zu verschleiern und dabei im Verborgenen sensible Daten von den betroffenen Geräten zu sammeln.

Im Juni 2023 wurde ein Angriff bekannt, bei dem iOS-Geräte mithilfe eines Zero-Click-Exploits attackiert wurden. Dieser Exploit nutzte damals noch unbekannte Sicherheitslücken (CVE-2023-32434 und CVE-2023-32435) aus, um über die iMessage-Plattform einen schädlichen Anhang zu übertragen. Dieser ermöglichte es den Angreifern, die volle Kontrolle über die Geräte zu übernehmen und auf Nutzerdaten zuzugreifen.

Über das Ausmaß der Kampagne lässt sich bislang nichts feststellen – ebenso wie über die Identität des Bedrohungsakteurs. Sogar Kaspersky, selbst ein Ziel des Angriffs, hat dazu im Moment keine genauen Informationen. Dennoch hat das Unternehmen den Angriff zum Anlass genommen, um die verschiedenen Teile einer vermutlich voll funktionsfähigen APT-Plattform (Advanced Persistent Threat) genauer zu untersuchen.

Das Herzstück des Angriffs ist eine Hintertür namens TriangleDB. Die Angreifer verwenden sie, nachdem sie Root-Zugriff auf das iOS-Gerät erlangt haben, indem sie die Kernel-Schwachstelle CVE-2023-32434 ausnutzen. Diese Schwachstelle erlaubt es, beliebigen Code auf dem Gerät auszuführen. Kaspersky berichtet, dass es zwei Prüfschritte vor dem Einsatz dieser Hintertür gibt: den JavaScript Validator und den Binary Validator. Diese werden durchgeführt, um sicherzustellen, dass das Zielgerät nicht in einer Forschungsumgebung läuft. „Diese Validatoren sammeln verschiedene Informationen über das Opfergerät und senden sie an den C2-Server“, so Kaspersky-Forscher. „Diese Informationen werden dann verwendet, um festzustellen, ob es sich bei dem iPhone oder iPad, das mit TriangleDB infiziert werden soll, um ein Forschungsgerät handeln könnte. Durch solche Überprüfungen können Angreifer sicherstellen, dass ihre Zero-Day-Exploits und das Implantat nicht frühzeitig entdeckt werden.“

Hintergrund

Der Angriff beginnt mit einem unsichtbaren Anhang in iMessage, den ein Opfer erhält. Dieser Anhang löst eine Zero-Click-Exploit-Kette aus, die dazu dient, heimlich eine spezielle URL zu öffnen. Diese URL enthält versteckten JavaScript-Code aus der NaCl-Kryptografie-Bibliothek sowie eine verschlüsselte Nutzlast.

Die Nutzlast ist der JavaScript-Validator. Dieser prüft nicht nur einige mathematische Dinge und ob bestimmte Browser-Technologien wie Media Source API und WebAssembly vorhanden sind, sondern er verwendet auch eine Browser-Erkennungstechnik namens Canvas-Fingerprinting. Dabei wird ein gelbes Dreieck auf einen rosa Hintergrund gezeichnet. Anschließend wird die Prüfsumme dieser Zeichnung berechnet.

Die während dieses Schritts gesammelten Daten werden an einen Server gesendet, um im Gegenzug eine unbekannte Malware der nächsten Stufe zu erhalten. Nachdem erfolgreich WebKit- und Kernel-Schwachstellen ausgenutzt wurden, wird außerdem ein sogenannter Binary Validator bereitgestellt. Dies ist eine spezielle Datei, die verschiedene Aktionen ausführt:

  • Entfernen von Absturzprotokollen aus dem Verzeichnis /private/var/mobile/Library/Logs/CrashReporter, um Spuren eines möglichen Angriffs zu beseitigen
  • Löschen von Beweisen für den bösartigen iMessage-Anhang, der von 36 verschiedenen, vom Angreifer kontrollierten Gmail-, Outlook- und Yahoo-E-Mail-Adressen gesendet wurde
  • eine Liste der auf dem Gerät laufenden Prozesse und der Netzwerkschnittstellen erhalten
  • Prüfen, ob das Zielgerät jailbroken ist
  • Aktivieren der personalisierten Werbeverfolgung
  • Sammeln von Informationen über das Gerät (Benutzername, Telefonnummer, IMEI und Apple ID), und
  • eine Liste der installierten Apps abrufen.

„Das Interessante an diesen Aktionen ist, dass der Validator sie sowohl für iOS- als auch für macOS-Systeme durchführt“, so die Forscher. Sie fügten hinzu, dass die Ergebnisse der genannten Aktionen verschlüsselt und an einen Command-and-Control-Server (C2) weitergeleitet werden, um das TriangleDB-Implantat zu holen.

Einer der ersten Schritte der Hintertür ist, eine Verbindung zum C2-Server herzustellen und einen Heartbeat zu senden. Daraufhin werden Anweisungen empfangen, die darauf abzielen, Crash-Log- und Datenbankdateien zu löschen, um alle forensischen Spuren zu beseitigen und die Analyse zu erschweren. Darüber hinaus wird die Backdoor angewiesen, regelmäßig Dateien aus dem Verzeichnis /private/var/tmp zu stehlen, die Standortinformationen, den iCloud-Schlüsselbund, SQL-Daten und Aufnahmen vom Mikrofon enthalten.

Ein bemerkenswertes Merkmal des Mikrofonaufzeichnungsmoduls ist die Fähigkeit, die Aufzeichnung zu unterbrechen, wenn der Bildschirm des Geräts eingeschaltet ist und der Akku weniger als 10 Prozent geladen ist. Das zeigt, dass der Angreifer versucht, unbemerkt zu bleiben. Darüber hinaus wird das Modul zur Standortüberwachung so gesteuert, dass es GSM-Daten wie den Ländercode des Mobiltelefons (MCC), den Code des Mobilfunknetzes (MNC) und den Ortsnetzcode (LAC) verwendet, um den Standort des Opfers zu triangulieren, wenn keine GPS-Daten verfügbar sind.

„Der Angreifer, der hinter Triangulation steckt, hat große Sorgfalt darauf verwendet, nicht entdeckt zu werden“, so die Forscher. „Die Angreifer zeigten auch ein großes Verständnis der iOS-Interna, da sie im Verlauf des Angriffs private undokumentierte APIs verwendeten.“

Update

Am 25. Oktober 2023 hat Apple im Rahmen seiner Updates für iOS 15.8 und iPadOS 15.8 Sicherheitsaktualisierungen auf ältere Geräte ausgedehnt, um die Kernel-Schwachstelle zu beheben. Dabei wies Apple aber darauf hin, dass diese Schwachstelle möglicherweise bereits für ältere iOS-Versionen genutzt wurde, die vor iOS 15.7 veröffentlicht wurden.

Diesen Beitrag teilen: