3 पॉइंट द्वारा GN⁺ 2023-12-28 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Operation Triangulation कम-से-कम 4 साल तक सिर्फ iMessage के जरिए iPhone को संक्रमित करने वाला अभियान था, और माना जाता है कि Kaspersky कर्मचारियों के डिवाइस तथा रूस में राजनयिक मिशनों और दूतावासों से जुड़े लोगों के iPhone इससे प्रभावित हुए
  • संक्रमण की शुरुआत दुर्भावनापूर्ण iMessage attachment से होती थी, जिसे यूज़र के कोई कार्रवाई किए बिना प्रोसेस किया जाता था, और अगर reboot से संक्रमण हट जाता तो हमलावर नया संदेश भेजकर फिर से संक्रमित कर देते थे
  • Kaspersky के विश्लेषण के अनुसार इस chain में 4 zero-day का इस्तेमाल हुआ, और Apple ने CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990 सभी को patch कर दिया
  • सबसे अहम breakthrough एक undocumented hardware feature की कमजोरी थी, जिसकी मदद से हमलावर iPhone की hardware-based memory protection को bypass करके kernel modification और malicious code injection पर लगी पाबंदियों को पार कर सके
  • हमले के पीछे किसका हाथ था, यह तय नहीं हो सका; NSA और Apple की संलिप्तता के संदेहों पर Kaspersky ने कहा कि कोई सबूत नहीं है, और Apple ने सहयोग के दावों से इनकार किया

Operation Triangulation का संक्रमण तरीका

  • Operation Triangulation वह नाम है जो Kaspersky ने malware और उसे इंस्टॉल करने वाले अभियान को दिया
  • संक्रमण iMessage message के जरिए पहुंचाया जाता था, और प्राप्तकर्ता की किसी कार्रवाई के बिना एक जटिल exploit chain चल जाती थी
  • इंस्टॉल किया गया spyware हमलावर के control server को संवेदनशील डेटा भेजता था
    • माइक्रोफोन रिकॉर्डिंग
    • फ़ोटो
    • भौगोलिक लोकेशन
    • अन्य संवेदनशील डेटा
  • संक्रमण reboot के बाद कायम नहीं रहता था, लेकिन हमलावर डिवाइस के दोबारा शुरू होते ही नया malicious iMessage भेजकर संक्रमण बनाए रखते थे
  • संक्रमण का पता लगाना advanced forensic expertise रखने वालों के लिए भी बेहद कठिन था
  • संक्रमण के संकेतकों की सूची Kaspersky के Triangulation validators/modules पेज पर देखी जा सकती है

4 zero-day और प्रभाव का दायरा

  • Kaspersky ने विश्लेषण किया कि Triangulation ने 4 गंभीर zero-day vulnerabilities का इस्तेमाल किया
  • Apple ने चारों vulnerabilities को patch कर दिया
  • ये vulnerabilities और secret hardware feature सिर्फ iPhone ही नहीं, कई Apple platforms में मौजूद थे
    • Mac
    • iPod
    • iPad
    • Apple TV
    • Apple Watch
  • Kaspersky द्वारा हासिल किए गए exploits को जानबूझकर इस तरह विकसित किया गया था कि वे इन डिवाइसों पर भी काम करें, और Apple ने उन platforms को भी patch किया
  • Apple ने इससे जुड़ी टिप्पणी देने से इनकार किया

undocumented hardware feature

  • हमलावरों ने जिस अज्ञात hardware feature को निशाना बनाया, वह Operation Triangulation का मुख्य तत्व निकला
  • इस feature की कमजोरी ने हमलावरों को Apple डिवाइसों की hardware-based memory protection को bypass करने में निर्णायक भूमिका निभाई
  • यह सुरक्षा तंत्र इस तरह डिज़ाइन किया गया था कि kernel memory में छेड़छाड़ करने की स्थिति बनने के बाद भी नीचे दिए गए काम रोके जा सकें
    • दूसरे process में malicious code inject करना
    • kernel code में बदलाव करना
    • संवेदनशील kernel data बदलना
  • Kaspersky के शोधकर्ताओं ने Triangulation से संक्रमित डिवाइसों का महीनों reverse engineering करने के बाद ही इस feature को पहचाना
  • हमलावरों द्वारा इस्तेमाल किए गए कुछ MMIO addresses उस device tree में मौजूद नहीं थे जो hardware configuration को machine-readable रूप में बताता है
  • source code, kernel images और firmware की अतिरिक्त जांच में भी इन MMIO addresses का कोई उल्लेख नहीं मिला
  • Boris Larin के अनुसार हमलावर किसी अज्ञात hardware register में इच्छित data, target physical address और data hash लिखकर hardware-based memory protection को bypass करते थे
  • Kaspersky ने संभावना जताई कि यह feature Apple engineers या factory के debugging और testing purpose के लिए रहा हो, या गलती से शामिल हो गया हो, लेकिन क्योंकि firmware इस feature का उपयोग नहीं करता, इसलिए हमलावरों को इसका पता कैसे चला यह स्पष्ट नहीं हो सका

exploit chain का प्रवाह

  • chain सबसे पहले Apple के TrueType font implementation में मौजूद CVE-2023-41990 का इस्तेमाल करके remote code execution हासिल करती थी
    • इस चरण में return oriented programming और jump oriented programming का उपयोग कर आधुनिक exploit defenses को bypass किया गया
    • execute permission न्यूनतम system privilege स्तर की थी
  • अगला चरण iOS kernel को निशाना बनाता था
    • CVE-2023-32434 XNU की memory corruption vulnerability है
    • CVE-2023-38606 secret MMIO register की vulnerability है, जो Page Protection Layer bypass को संभव बनाती है
  • इसके बाद chain Safari vulnerability CVE-2023-32435 का इस्तेमाल करके shellcode चलाती थी
  • बने हुए shellcode ने फिर CVE-2023-32434 और CVE-2023-38606 का उपयोग कर root access हासिल किया और अंततः spyware payload इंस्टॉल किया
  • Kaspersky के chain summary में ये विशेषताएँ शामिल थीं
    • malicious iMessage attachment को यूज़र को दिखाए बिना app के भीतर प्रोसेस किया जाता था
    • Apple-विशिष्ट TrueType font command ADJUST का उपयोग करने वाला remote code execution शामिल था
    • JavaScript exploit obfuscated था, लगभग 11,000 लाइनों का था, और अधिकांश code JavaScriptCore तथा kernel memory parsing और manipulation पर खर्च हुआ
    • JavaScriptCore की debugging feature DollarVM का उपयोग करके JavaScriptCore memory में छेड़छाड़ की गई और native API functions चलाए गए
    • इसे पुराने और नए दोनों iPhone को support करने के लिए डिज़ाइन किया गया था, और नए models के exploit के लिए Pointer Authentication Code bypass भी शामिल था
    • अंतिम चरण का kernel exploit mach object file के रूप में था, आकार और कार्यक्षमता में बड़ा था, और इसमें कई post-exploit utilities शामिल थीं, हालांकि उनमें से अधिकांश का उपयोग नहीं हुआ

हमलावर और बाकी बचे सवाल

  • Kaspersky यह पता नहीं लगा सका कि हमलावरों को undocumented hardware feature के बारे में कैसे पता चला
  • Boris Larin पुराने firmware या source code disclosure के दौरान हुई आकस्मिक exposure और hardware reverse engineering की संभावना पर विचार कर रहे हैं
  • इस feature का सटीक उद्देश्य अभी भी अज्ञात है
  • यह भी स्पष्ट नहीं है कि यह feature iPhone की default configuration का हिस्सा है या ARM CoreSight जैसे third-party hardware component के जरिए सक्षम होता है
  • रूस के National Coordination Center for Computer Incidents ने जून 2023 में दावा किया था कि यह हमला NSA के एक बड़े अभियान का हिस्सा था, और FSB ने आरोप लगाया था कि Apple ने NSA के साथ सहयोग किया
  • Apple के प्रतिनिधि ने सहयोग के दावे से इनकार किया
  • Kaspersky के शोधकर्ताओं का मानना है कि NSA या Apple की संलिप्तता का समर्थन करने वाला कोई सबूत नहीं है
  • Larin का कहना है कि Operation Triangulation की विशिष्ट विशेषताएँ ज्ञात अभियान पैटर्न से मेल नहीं खातीं, इसलिए फिलहाल इसे किसी ज्ञात threat actor से निश्चित रूप से जोड़ना संभव नहीं है
  • Larin ने कहा कि Kaspersky ने Adobe, Apple, Google और Microsoft के उत्पादों में वास्तविक दुनिया में exploit किए गए 30 से अधिक zero-day खोजकर रिपोर्ट किए हैं, लेकिन इस chain को उन्होंने अब तक देखी गई सबसे परिष्कृत attack chain बताया

1 टिप्पणियां

 
GN⁺ 2023-12-28
Hacker News की राय
  • (अधिकांश) टिप्पणियां यहां शिफ्ट कर दी गई हैं: Operation Triangulation: The last (hardware) mystery - https://news.ycombinator.com/item?id=38783112 - दिसंबर 2023, 71 टिप्पणियां
  • Ars Technica के Dan Goodin का यह लेख सच में बेहतरीन है। लेख क्रमिक खुलासे के अंदाज में पढ़ा जाता है, और programmer न होने के बावजूद मैं अंत तक इसे follow कर पाया
    • Dan वाकई कमाल के हैं। पहले उनका interview लिया था, और technical nuances को समझने व आम पाठक तक सही ढंग से पहुंचाने में उनकी रुचि प्रभावशाली लगी थी
      tech journalism में मिले कई लोगों की तरह वे बिल्कुल भी clickbait headline के पीछे भागने वाले नहीं हैं, और Ars भाग्यशाली है कि वह उनके साथ हैं
  • मुख्य exploit की technical details वाला लेख भी साथ में link करना चाहूंगा। इसमें बताया गया है कि undocumented hardware GPU registers का इस्तेमाल करके memory protection को कैसे bypass किया गया: https://securelist.com/operation-triangulation-the-last-hard...
  • जून 2023 का Ars Technica article भी देखने लायक है: https://arstechnica.com/information-technology/2023/06/click...