Opération Triangulation : intervention au 37С3

Une analyse détaillée de l’opération Triangulation, l’attaque la plus sophistiquée que nos experts ont connu, a été présenté au 37C3.

Lors de la 37ème édition du Chaos Communication Congress qui a eu lieu à Hambourg, les experts Boris Larin, Leonid Bezvershenko et Grigoriy Kucherin de notre équipe GReAT (Global Research and Analysis Team) sont intervenus dans le cadre de leur présentation : « Opération Triangulation : ce qui vous arrive lorsque vous attaquez les iPhones de chercheurs » (Operation Triangulation: what you get when attack iPhones of researchers). Ils ont décrit en détail la chaîne d’attaque et ont mentionné les vulnérabilités impliquées. Ils ont, entre autres, présenté pour la première fois les détails relatifs à l’exploitation de la vulnérabilité hardware CVE-2023-38606.

Nous n’allons pas revoir tous les principes de base de ce rapport puisque cet article publié sur le blog Securelist fournit tous les détails techniques et que vous pouvez écouter l’enregistrement de cette intervention sur le site officiel de la conférence. Cet article va brièvement reprendre les points principaux.

  • Comme nous l’avons déjà dit au début de l’été, l’attaque a débuté avec un iMessage invisible qui contenait une pièce jointe malveillante traitée sans que l’utilisateur ne le sache. L’utilisateur n’avait rien à faire pour que l’attaque fonctionne.
  • Nos experts ont pu détecter l’attaque en surveillant le réseau Wi-Fi d’une entreprise avec notre solution de classe SIEM Kaspersky Unified Monitoring and Analysis Platform (KUMA).
  • L’exploit Triangulation fonctionnait sur les versions modernes de l’iPhone et sur les modèles relativement anciens. Si l’attaque ciblait un iPhone plus récent, elle pouvait déjouer les codes d’authentification des pointeurs (PAC).
  • La vulnérabilité CVE-2023-32434 que cet exploit utilisait permettait aux cybercriminels d’accéder à toute la mémoire physique de l’appareil au niveau de l’utilisateur pour lire et pour écrire.
  • Grâce à l’exploitation des quatre vulnérabilités, le programme malveillant pouvait prendre le contrôle de l’appareil et exécuter n’importe quel programme malveillant nécessaire. À la place, il lançait le processus IMAgent et s’en servait pour effacer toutes les traces de l’attaque sur l’appareil. Il lançait aussi le processus Safari en arrière-plan et le redirigeait vers le site Web des cybercriminels qui contenait un exploit pour Safari.
  • Cet exploit pour Safari avait des droits root et lançaient d’autres étapes de l’attaque (dont nous avons déjà parlé dans nos articles précédents).
  • La vulnérabilité CVE-2023-38606 permettait de déjouer le mécanisme de protection intégré de la mémoire en utilisant des données non documentées et non utilisées dans les registres du processeur du micrologiciel. Selon nos experts, cette fonctionnalité a probablement été créée pour corriger des bugs ou pour réaliser des tests, et n’a pas été désactivée pour une quelconque raison.

Il ne reste qu’un seul mystère à résoudre : comment les cybercriminels ont su comment utiliser cette fonctionnalité non documentée et où est-ce qu’ils ont trouvé tous les renseignements.

 

Conseils