L’implant TriangleDB utilisé pour cibler les appareils Apple iOS contient au moins quatre modules différents pour enregistrer le microphone, extraire le trousseau iCloud, voler des données des bases de données SQLite utilisées par diverses applications et estimer l’emplacement de la victime.
Les conclusions proviennent de Kaspersky, qui a détaillé les efforts considérables déployés par l’adversaire derrière la campagne, surnommée Opération Triangulationest allé dissimuler et brouiller ses traces tout en aspirant clandestinement les informations sensibles des appareils compromis.
L’attaque sophistiquée a été révélée pour la première fois en juin 2023, lorsqu’il est apparu qu’iOS avait été ciblé par un exploit zéro clic militant puis des failles de sécurité zero-day (CVE-2023-32434 et CVE-2023-32435) qui exploitent la plate-forme iMessage. pour fournir une pièce jointe malveillante qui peut obtenir un contrôle total sur l’appareil et les données utilisateur.
L’ampleur et l’identité de l’auteur de la menace sont actuellement inconnues, bien que Kaspersky lui-même soit devenu l’une des cibles au début de l’année, ce qui l’a incité à enquêter sur les différents éléments de ce qu’il a déclaré dans une menace persistante avancée (APT) complète. plate-forme.
Le cœur du cadre d’attaque constitue une porte dérobée appelée TriangleDB qui est déployée une fois que les attaquants ont obtenu les privilèges root sur l’appareil iOS cible en exploitant CVE-2023-32434, une vulnérabilité du noyau qui pourrait être exploitée pour exécuter du code arbitraire.
Désormais, selon la société russe de cybersécurité, le déploiement de l’implant est précédé de deux étapes de validation, à savoir JavaScript Validator et Binary Validator, qui sont exécutées pour déterminer si l’appareil cible n’est pas associé à un environnement de recherche.
« Ces validateurs collectent diverses informations sur l’appareil de la victime et les envoient au serveur C2 », expliquent les chercheurs de Kaspersky Georgy Kucherin, Leonid Bezvershenko et Valentin Pashkov. dit dans un rapport technique publié lundi.
« Ces informations sont ensuite utilisées pour évaluer si l’iPhone ou l’iPad qui sera implanté avec TriangleDB pourrait être un appareil de recherche. En effectuant de telles vérifications, les attaquants peuvent s’assurer que leurs exploits zero-day et l’implant ne seront pas brûlés. »
En guise de contexte : le point de départ de la chaîne d’attaque est une pièce jointe iMessage invisible qu’une victime reçoit, qui déclenche une chaîne d’exploitation sans clic conçue pour ouvrir furtivement une URL unique contenant du JavaScript obscurci ainsi qu’une charge utile cryptée.
La charge utile est le validateur JavaScript qui, en plus d’effectuer diverses opérations arithmétiques et de vérifier la présence de l’API Media Source et de WebAssembly, exécute une technique d’empreinte digitale du navigateur appelée empreintes digitales sur toile en dessinant un triangle jaune sur fond rose avec WebGL et en calculant sa somme de contrôle.
Les informations collectées à la suite de cette étape sont transmises à un serveur distant afin de recevoir, en retour, un malware inconnu de prochaine étape. Un Binary Validator est également livré après une série d’étapes indéterminées, un fichier binaire Mach-O qui effectue les opérations ci-dessous –
- Supprimez les journaux de crash du répertoire /private/var/mobile/Library/Logs/CrashReporter pour effacer les traces d’une éventuelle exploitation
- Supprimez les preuves de la pièce jointe iMessage malveillante envoyée à partir de 36 adresses e-mail Gmail, Outlook et Yahoo différentes contrôlées par des attaquants.
- Obtenir une liste des processus en cours d’exécution sur l’appareil et les interfaces réseau
- Vérifiez si l’appareil cible est jailbreaké
- Activer le suivi personnalisé des annonces
- Recueillir des informations sur l’appareil (nom d’utilisateur, numéro de téléphone, IMEI et identifiant Apple), et
- Récupérer une liste des applications installées
« Ce qui est intéressant à propos de ces actions, c’est que le validateur les implémente à la fois pour les systèmes iOS et macOS », ont déclaré les chercheurs, ajoutant que les résultats des actions susmentionnées sont cryptés et exfiltrés vers un serveur de commande et de contrôle (C2) pour récupérer le Implant TriangleDB.
L’une des toutes premières étapes franchies par la porte dérobée consiste à établir une communication avec le serveur C2 et à envoyer un battement de cœur, puis à recevoir des commandes qui suppriment le journal des pannes et les fichiers de base de données afin de masquer la piste médico-légale et d’entraver l’analyse.
Des instructions sont également envoyées à l’implant pour exfiltrer périodiquement les fichiers du répertoire /private/var/tmp contenant l’emplacement, le trousseau iCloud, les données liées à SQL et les données enregistrées par microphone.
Une caractéristique notable du module d’enregistrement par microphone est sa capacité à suspendre l’enregistrement lorsque l’écran de l’appareil est allumé, indiquant ainsi l’intention de l’acteur malveillant de passer sous le radar.
De plus, le module de surveillance de localisation est orchestré pour utiliser les données GSM, telles que l’indicatif du pays du mobile (Centre multicompte), le code du réseau mobile (MNC) et l’indicatif régional de localisation (LAC), pour trianguler la position de la victime lorsque les données GPS ne sont pas disponibles.
« L’adversaire derrière Triangulation a pris grand soin d’éviter d’être détecté », ont déclaré les chercheurs. « Les attaquants ont également fait preuve d’une grande compréhension des composants internes d’iOS, car ils ont utilisé des API privées non documentées au cours de l’attaque. »