Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Beeindruckende Attacke: Kaspersky veröffentlicht Details zur Triangulation-Schwachstelle

Es ist ein Meisterwerk der Softwareentwicklung, programmiert für einen finsteren Zweck: Dem unbemerkten Ausspähen von iPhones. Über eine iMessage-Nachricht mit präpariertem PDF schleust sich Schadcode auf ein iPhone und nistet sich in undokumentierten Bereichen des ARM-Chips ein. Nach der Infektion überprüft der Trojaner mehrfach, ob er auf dem richtigen Gerät ist, bevor er mit der Überwachung beginnt. Nebenbei verwischt er die Spuren seines Eindringens und geht auf Schleichfahrt, sobald Software zur Trojanererkennung auf ihn angesetzt wird.


Der Code schreibt sich niemals in den persistenten Speicher des Apple-Geräts. Ein Neustart entfernt den Überwachungscode, der sich mit einer Handvoll URLs verbindet und eine Menge an Informationen sendet. Sechs bisher unbekannte Sicherheitslücken nutzt diese Infektionsmethode aus – im iOS-System, in der Spezifikation von ARM-Prozessoren und in Schriftdateien, die eigentlich seit Jahren bekannt und ausgemerzt sind.


Der Ablauf des Angriffs umfasst sechs bisher undokumentierte Lücken (Zero-Days) und mehrere Überprüfungen, ob auch das richtige Opfer ausgespäht wird. (Screenshot 37C3-Vortrag)

Auffälliger Netzwerkverkehr wies den Weg
Auf dem 37. Chaos Communication Congress präsentierte Boris Larin zusammen mit zwei Kollegen die Sicherheitslücke, die sie im Juni dieses Jahres entdeckt und veröffentlicht haben. Sie arbeiten beim russischen IT-Sicherheitsunternehmen Kaspersky. Dort sind sie dem aktiven Exploit im Januar dieses Jahres durch auffällige Netzwerkaktivität auf die Schliche gekommen. Etwa ein Dutzend iPhones ihrer Angestellten waren infiziert oder wurden wiederholt kompromittiert.

Aufwendige Nachforschungen
Indem sie firmenintern einen Man-in-the-Middle-Attack auf ihre firmeneigenen iPhones ausführten, konnten sie die Kommunikationsserver ausfindig machen. Nach und nach identifizierten sie sämtliche Komponenten des Angriffs und meldeten die Schwachstellen im Juni bei Apple und ARM. Gleichzeitig zum Vortrag auf dem 37C3 veröffentliche Kaspersky zudem eine wissenschaftliche Veröffentlichung mit allen Details ihrer Entdeckung.


Apple schloss eine der dokumentierten Lücken bereits im Januar 2022, in älteren iOS-Versionen allerdings erst nach Kapserskys Veröffentlichung. (Screenshot 37C3-Vortrag)

Wieviel wusste Apple im Voraus?
Boris Larin war bereits 2019 auf dem CCC und hat damals vorgeführt, wie sich die Blu-Ray-Laufwerke in Playstations hacken lassen. Seine Firma analysiere täglich Schwachstellen und deren Ausnutzung. Dies sei bei weitem die raffinierteste, die ihnen bisher untergekommen sei. Er stellt im Vortrag die Frage, wie viel Apple selbst von den möglichen Einfallstoren im mobilen Betriebssystem wusste. So dokumentiert er die Chronologie der Lücke im TrueType-Schriftformat und weist darauf hin, dass der Programmierfehler seit den Neunzigerjahren bekannt war. Interessanterweise nimmt Apples in iOS 16 eingeführter "Lockdown Mode" zumindest zwei Punkte der Angriffskette ins Visier: Ein iPhone im Blockierungsmodus zeigt keine PDFs in der Nachrichten-App an und lädt keine Website-spezifischen Schriften im systemeigenen Browser.

Kommentare

Michael Lang aus Rieder28.12.23 13:53
Liest sich so, als ob Apple bewußt diese Schwachstellen beließ....
Vielleicht haben Geheimdienste Ihre Finger im Spiel...wurden doch gerade iPhones der russischen Analysten infiziert...

[Verschwörungsmodus aus]
0
Jaguar1
Jaguar128.12.23 13:57
iMessage unbekannter Herkunft und dann noch eine eingebettete PDF selbst öffnen!? Das muss man aber auch schon wollen 🤷🏼‍♂️
Die Menschen sind nicht immer was sie scheinen, aber selten etwas besseres.
+3
marm28.12.23 14:07
Dort sind sie dem aktiven Exploit im Januar dieses Jahres durch auffällige Netzwerkaktivität auf die Schliche gekommen. Etwa ein Dutzend iPhones ihrer Angestellten waren infiziert oder wurden wiederholt kompromittiert.
Der Schadcode war bei Kaspersky selbst infiltriert worden?
Das ist ja so clever wie der Versuch eine Geldkassette von der Polizei zu klauen.
-2
immo_j28.12.23 14:13
Jaguar1
iMessage unbekannter Herkunft und dann noch eine eingebettete PDF selbst öffnen!? Das muss man aber auch schon wollen 🤷🏼‍♂️
Nein, das war ein Zero-Click-Exploit: iMessage öffnet das PDF im Hintergrund automatisch, um eine Vorschau zu erzeugen. Der Code pflanzt sich in den Speicher, löscht die Nachricht und entfernt ihre Spuren aus Protokolldateien.
+33
haschuk28.12.23 15:03
marm
Dort sind sie dem aktiven Exploit im Januar dieses Jahres durch auffällige Netzwerkaktivität auf die Schliche gekommen. Etwa ein Dutzend iPhones ihrer Angestellten waren infiziert oder wurden wiederholt kompromittiert.
Der Schadcode war bei Kaspersky selbst infiltriert worden?
Das ist ja so clever wie der Versuch eine Geldkassette von der Polizei zu klauen.

Nö. Nach Aussagen von Kaspersky hat der Exploit mehrere Monate auch bei ihnen seine Arbeit getan. Daher wurde eher ziemlich clever die Bank direkt (und nicht nur die) ausspioniert.
+7
ruphi
ruphi28.12.23 15:15
Michael Lang aus Rieder
Liest sich so, als ob Apple bewußt diese Schwachstellen beließ....
Vielleicht haben Geheimdienste Ihre Finger im Spiel...wurden doch gerade iPhones der russischen Analysten infiziert...

[Verschwörungsmodus aus]
Der Hypothese, dass Apple die Schwachstelle bewusst offen ließ, will ich mich nicht anschließen. Aber für mich sprechen tatsächlich zwei Punkte dafür, dass es sich um einen staatlichen Akteur gehandelt haben könnte:
1. Gleichzeitiges Ausnutzen vieler Zero Days und kunstvolle Vorgehensweise ("Meisterwerk der Softwareentwicklung" lt. MTN) sprechen für viel Geld und Ressourcen im Hintergrund
2. Die Tatsache, dass mehrfach sichergestellt wird, dass das richtige Gerät infiziert wurde. Klingt danach, als hätten die Entwickler eine gewisse "Ethik".

Was meint ihr, spricht das für eine staatliche Stelle?
+9
andreasm28.12.23 15:17
Michael Lang aus Rieder
Liest sich so, als ob Apple bewußt diese Schwachstellen beließ....
Vielleicht haben Geheimdienste Ihre Finger im Spiel...wurden doch gerade iPhones der russischen Analysten infiziert...

[Verschwörungsmodus aus]
Ob es bewusste Schachstellen waren? Keine Ahnung. Wenn man Fefes Blog liest und seiner Einschätzung folgen mag, dann dürfte alleine der monetäre Wert der Sicherheitslücken sich in einem Bereich bewegen der zumindest auf Geheimdienste schließen lässt.
+9
Mendel Kucharzeck
Mendel Kucharzeck28.12.23 15:24
ruphi
2. Die Tatsache, dass mehrfach sichergestellt wird, dass das richtige Gerät infiziert wurde. Klingt danach, als hätten die Entwickler eine gewisse "Ethik".

Ich denke dein zweiter Punkt hat einen ganz anderen Hintergrund: Je weniger Geräte du infizierst, desto geringer ist die Chance, dass dein Angriff erkannt wird. Hast du eine Lücke und du infizierst Millionen von Geräten, fällt das eher auf, als wenn du nur die infizierst, wo was für dich interessantes drauf ist.

Findet jemand deinen Angriffsvektor, ist dieser meist schnell gepatched und für dich wertlos.
+14
marm28.12.23 16:44
haschuk
Der Schadcode war bei Kaspersky selbst infiltriert worden?
Das ist ja so clever wie der Versuch eine Geldkassette von der Polizei zu klauen.
Nö. Nach Aussagen von Kaspersky hat der Exploit mehrere Monate auch bei ihnen seine Arbeit getan. Daher wurde eher ziemlich clever die Bank direkt (und nicht nur die) ausspioniert.
Verstehe ich nicht. Warum sollte Kaspersky ein wertvolles Angriffsziel sein? Wertvolle Angriffsziele sind (je nach Interesse) Regimegegner, Kriminelle, erpressbare Unternehmen, ...
-2
Deichkind28.12.23 17:25
Bei Kaspersky gibt es Know-How abzuschöpfen, vielleicht ging es aber auch um den Nachweis, dass die Firma mit den russischen Behörden kooperiert.
+2
haschuk28.12.23 19:17
marm
Verstehe ich nicht. Warum sollte Kaspersky ein wertvolles Angriffsziel sein? Wertvolle Angriffsziele sind (je nach Interesse) Regimegegner, Kriminelle, erpressbare Unternehmen, ...

Aus Sicht eines Geheimdienstes ist Kaspersky ein sehr wertvolles Ziel.

Und Kasperky hat am 5.6. die Meldung herausgegeben. Der russische FSB gab bereits am 2.6. neben den üblichen Lala aber der Hinweis, dass auch Geräte in ehemaligen Sowjetrepubliken an der Grenze zum Mittleren Osten sowie von Vertretern Syriens, Chinas, NATO und UN kompromittiert wurden.

Wenn wir nun in Betracht ziehen, dass ein sehr ähnlicher Angriffsvektor von einer Firma aus dem Nahen Osten kam. Wenn wir weiterhin in Betracht ziehen, dass die Geheimdienste dieses Landes dafür bekannt sind, nicht die dümmsten im Bereich des Cyberkampfes zu sein. Wenn wir auch noch die Geolokalisation der ehemaligen Sowjetstaaten beachten, dann könnte man glatt vermuten, dass dieses Land im Nahen Osten sehr großes Interesse an einem Informationsabfluss hinsichtlich allmöglichen Beziehungen zwischen verschiedenen Ländern und einem Staat I im Mittleren Osten hat.

Eine sehr interessante Information könnte zB sein, ob die Firma K mit dem Staat I auf irgendeinem Wege Liefervereinbarungen hat.
0
Bluebox3428.12.23 22:45
Bei uns ist Kaspersky rausgeflogenen, als Russland die Krim annektiert hatte…🤷‍♂️
+1
Jaguar1
Jaguar129.12.23 08:06
Ah ok, danke.
immo_j
Nein, das war ein Zero-Click-Exploit: iMessage öffnet das PDF im Hintergrund automatisch, um eine Vorschau zu erzeugen. Der Code pflanzt sich in den Speicher, löscht die Nachricht und entfernt ihre Spuren aus Protokolldateien.
Die Menschen sind nicht immer was sie scheinen, aber selten etwas besseres.
+2
ruphi
ruphi29.12.23 09:01
Mendel Kucharzeck
[…] Findet jemand deinen Angriffsvektor, ist dieser meist schnell gepatched und für dich wertlos.
Das ist zweifelsfrei richtig, aber bei staatlichen wie nichtstaatlichen Akteuren gleichermaßen der Fall. Mir ging's ja um Punkte, die für einen staatlichen Entwickler sprechen.
+1
Solaris
Solaris29.12.23 10:26
Der Exploit ist mehr als beeindruckend. Es wurden nicht dokumentierte GPU Register in der Hardware verwendet, die zumindest die Möglichkeit zulassen, dass hier jemand "Insider"-Wissen hatte.

Ebenso beeindruckend ist aber das von Boris Larin geleistete Reverse Engineering. Sein Artikel ist absolut lesenswert: https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/
0
marm29.12.23 13:21
haschuk
Aus Sicht eines Geheimdienstes ist Kaspersky ein sehr wertvolles Ziel.
Das überzeugt mich nicht. Die Firma ist nicht auf dem Level von NSO.
Dan Goodin (Hacker News)
The mass backdooring campaign, which according to Russian officials also infected the iPhones of thousands of people working inside diplomatic missions and embassies in Russia, according to Russian government officials, came to light in June. Over a span of at least four years, Kaspersky said, the infections were delivered in iMessage texts that installed malware through a complex exploit chain without requiring the receiver to take any action.
Ich nehme eher an, dass die Vorfälle nicht bei Kasperky-Mitarbeitern aufgedeckt wurden, sondern bei anderen Personen, die ihren Namen nicht in den Medien stehen haben möchten.
Die infizierten Kaspersky-Mitarbeiter sind als nur Strohmänner für die Veröffentlichung. Damit stelle ich nicht in Frage, dass es durch Kaspersky aufgedeckt wurde, aber nicht bei Kaspersky.
-1
haschuk29.12.23 13:44
marm

Interesant ist, dass Du mit Deinem Zitat nichts anderes als mein Post bestätigst, aber gleichzeitig Kasperskys eigene Aussagen ohne jegliches weiteres begründetes Wissen als Fake darstellst.

Interessante Diskussionsgrundlage.

Dass bereits 2014 Kasperky ein Ziel war, ist Dir bekannt?
-3
marm29.12.23 13:53
haschuk
Interessante Diskussionsgrundlage.
Von Fake sprach ich nicht. Du hingegen raunst was von irgendwelchen Connections ("ohne jegliches begründetes Wissen") von Kaspersky mit Abkürzungen. Kaspersky verkauft Virenscanner an private und mittlere Unternehmen. Als Großunternehmen werden VW Retail und Olypisches Kommittee genannt. Naja.

Dennoch habe ich ausdrücklich anerkannt, dass es durch Kaspersky entdeckt wurde.
Es ist wohl kaum anzunehmen, dass ein Unternehmen, ein Regierungsmitarbeiter oder wer auch immer möchte, dass sein Name in den Nachrichten steht, dass es bei ihm entdeckt wurde. Es ist doch schon bei Ransomware-Angriffen bekannt, dass die Opfer/Angriffsziele meistens nicht bekannt werden möchten.
0
haschuk29.12.23 13:59
marm

Du hast echt keine Ahnung von Kaspersky, deren Größe und deren Lösungen für kritische Infrastrukturen.

Und schon oben angedeutet, Kaspersky war bereis 2014 Target israelischer Geheimdienste.
-1
marm29.12.23 14:05
haschuk
marmDu hast echt keine Ahnung von Kaspersky, deren Größe und deren Lösungen für kritische Infrastrukturen.
Wikipedia hat auch nicht so viel Ahnung wie Du
Und wenn Kaspersky so gut ist, setzt man die Spyware ausgerechnet bei Kaspersky ein um als erster das neueste Update für den Virenscanner von Zero-Days-Sicherheitslücken zu erhalten?
0
haschuk29.12.23 14:26
marm

Weil die Lücke offenbar bis zu 4 Jahre Daten geliefert hat:

Der modifizierte Stuxnet von 2014/2015 dagegen nur mehrere Monate.
0
AJVienna02.01.24 23:41
marm
Und wenn Kaspersky so gut ist, setzt man die Spyware ausgerechnet bei Kaspersky ein um als erster das neueste Update für den Virenscanner von Zero-Days-Sicherheitslücken zu erhalten?
Ernsthaft? Kaspersky hat sicher eine Menge interessantes know how. Unter anderem zu Sicherheitslücken die man wiederum woanders ausnutzen könnte. Dazu wäre es für einen Hacker interessant die Software von denen zu infiltrieren, um damit Viren und Trojaner auf weitere kritische Netzwerke zu übertragen.
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.