Les attaques de logiciels espions Operation Triangulation ciblant les appareils Apple iOS ont exploité des exploits inédits qui ont permis même de contourner les protections de sécurité matérielles essentielles mises en place par l’entreprise.
La société russe de cybersécurité Kaspersky, qui a découvert la campagne début 2023 après en être devenue l’une des cibles, décrit il s’agit de la « chaîne d’attaque la plus sophistiquée » jamais observée à ce jour. On pense que la campagne est active depuis 2019.
L’activité d’exploitation impliquait l’utilisation de quatre failles zero-day qui ont été transformées en chaîne pour obtenir un niveau d’accès sans précédent et des appareils cibles de porte dérobée exécutant des versions iOS jusqu’à iOS 16.2 dans le but ultime de collecter des informations sensibles.
De l’UTILISATEUR à l’ADMINISTE : découvrez comment les pirates informatiques prennent le contrôle total
Découvrez les tactiques secrètes utilisées par les pirates pour devenir administrateurs, comment les détecter et les bloquer avant qu’il ne soit trop tard. Inscrivez-vous à notre webinaire dès aujourd’hui.
Le point de départ de l’attaque sans clic est un iMessage contenant une pièce jointe malveillante, qui est automatiquement traité sans aucune interaction de l’utilisateur pour finalement obtenir des autorisations élevées et déployer un module de logiciel espion. Plus précisément, cela implique la militarisation des vulnérabilités suivantes :
- CVE-2023-41990 – Une faille dans le composant FontParser qui pourrait conduire à l’exécution de code arbitraire lors du traitement d’un fichier de police spécialement conçu, envoyé via iMessage. (Abordé dans iOS 15.7.8 et iOS 16.3)
- CVE-2023-32434 – Une vulnérabilité de dépassement d’entier dans le noyau qui pourrait être exploitée par une application malveillante pour exécuter du code arbitraire avec les privilèges du noyau. (abordé dans iOS 15.7.7, iOS 15.8 et iOS 16.5.1)
- CVE-2023-32435 – Une vulnérabilité de corruption de mémoire dans WebKit qui pourrait conduire à l’exécution de code arbitraire lors du traitement de contenu Web spécialement conçu. (abordé dans iOS 15.7.7 et iOS 16.5.1)
- CVE-2023-38606 – Un problème dans le noyau qui permet à une application malveillante de modifier l’état sensible du noyau. (abordé dans iOS 16.6)
Il convient de noter que les correctifs pour CVE-2023-41990 ont été publiés par Apple en janvier 2023, bien que les détails sur l’exploitation n’aient été rendus publics par la société que le 8 septembre 2023, le jour même de la livraison d’iOS 16.6.1 pour résoudre deux autres problèmes. failles (CVE-2023-41061 et CVE-2023-41064) qui ont été activement exploitées dans le cadre d’une campagne de logiciel espion Pegasus.
Cela porte également à 20 le nombre de failles Zero Day activement exploitées et résolues par Apple depuis le début de l’année.
Parmi les quatre vulnérabilités, CVE-2023-38606 mérite une mention spéciale car elle facilite le contournement de la protection de sécurité matérielle pour les régions sensibles de la mémoire du noyau en exploitant les E/S mappées en mémoire (MMIO) s’enregistre, une fonctionnalité qui n’était jamais connue ni documentée jusqu’à présent.
L’exploit cible en particulier les SoC Apple A12-A16 Bionic, en distinguant les blocs de registres MMIO inconnus appartenant au coprocesseur GPU. On ne sait pas actuellement comment les mystérieux acteurs menaçants à l’origine de l’opération ont appris son existence. On ne sait pas non plus s’il a été développé par Apple ou s’il s’agit d’un composant tiers comme ARM CoreSight.
En d’autres termes, CVE-2023-38606 est le maillon crucial de la chaîne d’exploitation étroitement liée au succès de la campagne Operation Triangulation, étant donné qu’il permet à l’acteur malveillant de prendre le contrôle total du système compromis.
« Nous pensons que cette fonctionnalité matérielle inconnue était très probablement destinée à être utilisée à des fins de débogage ou de test par les ingénieurs Apple ou l’usine, ou qu’elle a été incluse par erreur », a déclaré le chercheur en sécurité Boris Larin. « Comme cette fonctionnalité n’est pas utilisée par le firmware, nous n’avons aucune idée de la manière dont les attaquants pourraient l’utiliser. »
« La sécurité matérielle repose très souvent sur la « sécurité par l’obscurité », et il est beaucoup plus difficile de faire de la rétro-ingénierie que sur les logiciels, mais il s’agit d’une approche erronée, car tôt ou tard, tous les secrets sont révélés. Les systèmes qui reposent sur « la sécurité par l’obscurité » l’obscurité » ne peut jamais être vraiment sûre. «
Cette évolution intervient alors que le Washington Post signalé que les avertissements d’Apple dans fin octobre sur la manière dont des journalistes indiens et des politiciens de l’opposition auraient pu être ciblés par des attaques de logiciels espions parrainées par l’État ont incité le gouvernement à remettre en question la véracité de ces affirmations et à les décrire comme un cas de « dysfonctionnement algorithmique » au sein des systèmes du géant de la technologie.
En outre, de hauts responsables de l’administration ont exigé que l’entreprise atténue l’impact politique des avertissements et ont pressé l’entreprise de fournir d’autres explications sur les raisons pour lesquelles les avertissements auraient pu être envoyés. Jusqu’à présent, l’Inde n’a ni confirmé ni nié l’utilisation de logiciels espions tels que ceux de Pegasus, du groupe NSO.
Citant des personnes connaissant le sujet, le Washington Post a noté que « les responsables indiens ont demandé à Apple de retirer les avertissements et de dire qu’ils avaient commis une erreur », et que « les responsables de la communication d’Apple Inde ont commencé à demander en privé aux journalistes technologiques indiens de souligner dans leurs articles que les avertissements d’Apple pourraient être de fausses alertes » pour détourner l’attention du gouvernement.