Des chercheurs ont présenté mercredi de nouvelles découvertes intrigantes concernant une attaque qui, pendant quatre ans, a détourné des dizaines, voire des milliers d’iPhones, dont beaucoup appartenaient à des employés de la société de sécurité Kaspersky basée à Moscou. Principale découverte : les attaquants inconnus ont réussi à atteindre un niveau d’accès sans précédent en exploitant une vulnérabilité dans une fonctionnalité matérielle non documentée que peu de personnes, voire personne, en dehors d’Apple et des fournisseurs de puces tels qu’ARM Holdings connaissaient.
« La sophistication de l’exploit et l’obscurité de la fonctionnalité suggèrent que les attaquants disposaient de capacités techniques avancées », a écrit Boris Larin, chercheur chez Kaspersky, dans un e-mail. « Notre analyse n’a pas révélé comment ils ont pris connaissance de cette fonctionnalité, mais nous explorons toutes les possibilités, y compris la divulgation accidentelle dans les versions précédentes du micrologiciel ou du code source. Ils sont peut-être également tombés dessus grâce à l’ingénierie inverse matérielle.
Quatre zero-day exploités depuis des années
D’autres questions restent sans réponse, écrit Larin, même après environ 12 mois d’enquête intensive. Outre la façon dont les attaquants ont découvert cette fonctionnalité matérielle, les chercheurs ne savent toujours pas quel est précisément son objectif. On ne sait pas non plus si la fonctionnalité est une partie native de l’iPhone ou si elle est activée par un composant matériel tiers tel que CoreSight d’ARM.
La campagne de porte dérobée massive, qui, selon des responsables russes, a également infecté les iPhones de milliers de personnes travaillant dans les missions diplomatiques et les ambassades en Russie, selon des responsables du gouvernement russe, a été révélée en juin. Sur une période d’au moins quatre ans, a déclaré Kaspersky, les infections ont été transmises dans des textes iMessage qui installaient des logiciels malveillants via une chaîne d’exploitation complexe sans que le destinataire n’ait à prendre aucune mesure.
Les appareils ont ainsi été infectés par des logiciels espions complets qui, entre autres, transmettaient des enregistrements de microphone, des photos, de la géolocalisation et d’autres données sensibles à des serveurs contrôlés par des attaquants. Bien que les infections n’aient pas survécu à un redémarrage, les attaquants inconnus ont maintenu leur campagne en vie simplement en envoyant aux appareils un nouveau texte iMessage malveillant peu de temps après le redémarrage des appareils.
De nouveaux détails divulgués mercredi indiquent que « Triangulation » – le nom que Kaspersky a donné au malware et à la campagne qui l’a installé – exploitait quatre vulnérabilités critiques du jour zéro, ce qui signifie de graves failles de programmation connues des attaquants avant qu’elles ne le soient. à Apple. La société a depuis corrigé les quatre vulnérabilités, qui sont répertoriées comme suit :
En plus d’affecter les iPhones, ces zero-day critiques et la fonction matérielle secrète résidaient dans les Mac, iPod, iPad, Apple TV et Apple Watches. De plus, les exploits récupérés par Kaspersky ont été intentionnellement développés pour fonctionner également sur ces appareils. Apple a également corrigé ces plates-formes. Apple a refusé de commenter cet article.
La détection des infections est extrêmement difficile, même pour les personnes possédant une expertise médico-légale avancée. Pour ceux qui veulent essayer, une liste d’adresses Internet, de fichiers et d’autres indicateurs de compromission se trouve ici.
La fonction mystérieuse de l’iPhone s’avère essentielle au succès de Triangulation
Le nouveau détail le plus intrigant est le ciblage d’une fonctionnalité matérielle jusqu’alors inconnue, qui s’est avérée essentielle à la campagne Opération Triangulation. Un jour zéro dans la fonctionnalité a permis aux attaquants de contourner les protections matérielles avancées de la mémoire conçues pour sauvegarder l’intégrité du système de l’appareil, même après qu’un attaquant ait acquis la capacité de falsifier la mémoire du noyau sous-jacent. Sur la plupart des autres plates-formes, une fois que les attaquants ont réussi à exploiter une vulnérabilité du noyau, ils ont le contrôle total du système compromis.
Sur les appareils Apple équipés de ces protections, ces attaquants sont toujours incapables d’exécuter des techniques post-exploitation clés telles que l’injection de code malveillant dans d’autres processus ou la modification du code ou des données sensibles du noyau. Cette puissante protection a été contournée en exploitant une vulnérabilité dans la fonction secrète. La protection, rarement vaincue par les exploits découverts jusqu’à présent, est également présente dans les processeurs Apple M1 et M2.
Les chercheurs de Kaspersky n’ont découvert la fonction secrète du matériel qu’après des mois d’ingénierie inverse approfondie des appareils infectés par Triangulation. Au cours du cours, l’attention des chercheurs a été attirée sur ce que l’on appelle les registres matériels, qui fournissent des adresses mémoire permettant aux processeurs d’interagir avec des composants périphériques tels que les USB, les contrôleurs de mémoire et les GPU. Les MMIO, abréviation de Memory-mapped Input/Outputs, permettent au processeur d’écrire dans le registre matériel spécifique d’un périphérique spécifique.
Les chercheurs ont découvert que plusieurs des adresses MMIO utilisées par les attaquants pour contourner les protections de la mémoire n’étaient identifiées dans aucune arborescence de périphériques, une description lisible par machine d’un ensemble particulier de matériel qui peut être utile à l’ingénierie inverse. Même après que les chercheurs aient parcouru davantage les codes sources, les images du noyau et le micrologiciel, ils n’ont toujours pas trouvé de mention des adresses MMIO.