Operation Triangulation: "Raffiniertester Exploit aller Zeiten" auf iPhones

Inhaltsverzeichnis

Sicherheitsforscher haben am Mittwoch auf dem 37C3 neue Details über einen Angriff veröffentlicht, bei dem über vier Jahre hinweg Dutzende, wenn nicht gar Tausende von iPhones manipuliert wurden, von denen viele Mitarbeitern des in Moskau ansässigen Sicherheitsunternehmens Kaspersky gehörten. Die Kampagne, die unter dem Namen Operation Triangulation geführt wird, war bereits im vergangenen Sommer aufgeflogen.

Eine der wichtigsten neuen Erkenntnisse: Die bislang noch unbekannten Angreifer waren in der Lage, sich in einem noch nie dagewesenen Ausmaß Zugang zu verschaffen, der sehr weitgehend war. Sie nutzten eine nicht dokumentierte Hardwarefunktion, die außerhalb von Apple und Chiptechniklieferanten wie ARM Holdings kaum jemandem bekannt war.

"Die Raffinesse des Exploits und die Obskurität der Funktion lassen darauf schließen, dass die Angreifer über fortschrittliche technische Fähigkeiten verfügten", so Kaspersky-Forscher Boris Larin gegenüber Ars Technica. "Unsere Analyse hat nicht ergeben, wie die Angreifer von dieser Funktion erfahren haben, aber wir untersuchen alle Möglichkeiten, einschließlich einer versehentlichen Offenlegung in früheren Firmware- oder Quellcode-Versionen." Möglicherweise seien sie auch durch Hardware-Reverse-Engineering auf die Funktion gestoßen.

Vier Zero-Days ausgenutzt – jahrelang

Andere Fragen seien auch nach gut einem Jahr intensiver Forschungsarbeit noch unbeantwortet, so Larin. Abgesehen davon, wie die Angreifer von der Hardwarefunktion erfahren haben, wissen die Forscher immer noch nicht, was überhaupt genau ihr Zweck ist. Unbekannt ist auch, ob die Funktion ein nativer Bestandteil des iPhones ist oder durch eine Hardwarekomponente eines Drittanbieters wie ARMs CoreSight aktiviert wurde.

Die Backdooring-Kampagne betraf laut Angaben russischer Regierungsbeamter auch die iPhones von Tausenden von Mitarbeitern diplomatischer Vertretungen und Botschaften in Russland. Laut Kaspersky wurden die Infektionen über einen Zeitraum von mindestens vier Jahren über iMessage-Botschaften ausgeliefert, die Malware über eine komplexe Exploit-Kette installierten, ohne dass der Empfänger eine Eingriffsmöglichkeit gehabt hätte ("Zero Click").

Dadurch wurden die Geräte mit einer umfangreichen Spyware infiziert, die unter anderem Mikrofonaufnahmen, Fotos, Ortsangaben sowie andere sensible Informationen von den Geräten an von den Angreifern kontrollierte Server übertrug. Obwohl die Infektionen einen Neustart des iPhone nicht überlebten, hielten die unbekannten Angreifer ihre Kampagne am Leben, indem sie den Geräten kurz nach danach einfach eine neue infizierte iMessage-Botschaft schickten.

Insgesamt vier kritische Zero-Day-Lücken sollen laut der Präsentation auf dem 37C3 für die Triangulation-Malware verwendet worden sein. Alle vier sind inzwischen gepatcht: CVE-2023-32434, CVE-2023-38606, CVE-2023-32435 sowie CVE-2023-41990. Die Zero-Days und die geheime Hardwarefunktion, die Triangulation ausnutzte, waren nicht nur auf iPhones, sondern auch auf Macs, iPods, iPads, Apple TVs und Apple-Uhren zu finden. Darüber hinaus wurden die von Kaspersky entdeckten Schwachstellen absichtlich so ausgenutzt, dass sie auch auf diesen Geräten funktionieren. Apple hat auch für die anderen betroffenen Plattformen Patches bereitgestellt, wollte sich ansonsten aber nicht zu dem Vorfall äußern. Es war äußerst schwer, eine Infektion zu erkennen, bei Kaspersky finden sich Hinweise, wie dies möglich ist.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Preisvergleiche immer laden Preisvergleich jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.