三角测量行动攻击依赖于未记录的硬件功能

来自俄罗斯网络安全公司卡巴斯基的研究人员发现，三角形行动背后的威胁行为者利用未记录的硬件功能针对苹果iOS设备进行攻击。 6月初，卡巴斯基发现了一个此前未知的APT组织，该组织利用零点击漏洞作为一项长期行动的一部分，针对iOS设备进行攻击，该行动被称为“三角形行动”。

专家们在监控专门用于移动设备的公司Wi-Fi网络的网络流量时发现了这次攻击，该网络使用了卡巴斯基统一监控和分析平台(KUMA)。 根据卡巴斯基研究人员的说法，三角形行动至少始于2019年，至今仍在进行中。 攻击链始于通过iMessage服务发送给iOS设备的一条消息。 该消息附带一个包含漏洞利用程序的附件。 专家解释说，该消息触发了无需任何用户交互（零点击）的远程代码执行漏洞。 在卡巴斯基披露之后不久，俄罗斯联邦安全局指责美国情报机构对iPhone的攻击。 

据俄罗斯情报部门称，数千部属于国内用户、外交使团和使馆的iOS设备已成为三角形行动的一部分。 这些行动旨在从北约国家、以色列、中国和叙利亚的外交官那里收集情报。 联邦安全局认为，苹果在这场网络间谍活动中支持了美国情报机构。 卡巴斯基最初报告说，攻击中使用的漏洞利用程序从C2服务器下载了多个后续阶段，包括用于提升权限的其他漏洞利用程序。 最终的有效载荷从相同的C2下载，被卡巴斯基描述为一个功能齐全的APT平台。 然后，初始消息和附件中的漏洞利用程序被删除。 研究人员注意到，恶意工具集不支持持久性，可能是由于操作系统的限制。 这些设备可能在使用后再次感染了恶意软件。

研究人员解释说，最新iPhone型号为内核内存敏感区域提供了基于硬件的安全保护。这项安全功能保护阻止攻击者通过利用CVE-2023-32434漏洞控制内核内存来接管设备。卡巴斯基发现，为了绕过这种基于硬件的安全保护，威胁行为者滥用了苹果设计的SoC的硬件功能。

专家们继续说：“我们猜测，这个未知的硬件功能最有可能是苹果工程师或工厂用于调试或测试目的，或者是由于错误而包含的。因为这个功能没有被固件使用，我们不知道攻击者是如何知道如何使用它的。”SoC中的许多外围设备依赖于专用硬件寄存器进行CPU操作。这些寄存器与CPU可访问的内存（“内存映射I/O（MMIO）”）相关联。专家指出，苹果产品（包括iPhone、Mac等）中外围设备的MMIO地址范围存储在名为DeviceTree的特定文件格式中。对三角形行动攻击中使用的漏洞利用的分析表明，威胁行为者使用的MMIO大部分不属于设备树中定义的任何MMIO范围。该漏洞利用特别针对苹果A12-A16 Bionic SoC，针对未知的MMIO寄存器块。“这不是普通的漏洞，我们有很多未解决的问题。我们不知道攻击者是如何学会使用这个未知的硬件功能，也不知道它的原始用途是什么。我们也不知道这是否是由苹果开发的，还是像ARM CoreSight这样的第三方组件。”报告总结说。“我们所知道的是——也是这个漏洞所表明的是——先进的基于硬件的保护在面对经验丰富的攻击者时毫无用处，只要存在能够绕过这些保护的硬件功能。”