Kaspersky hat neue Details zur grossangelegten Spionageoperation Triangulation erarbeitet. In dieser sollen Angreifer mittels eines Zero-Click-Angriffs vollständige Kontrolle über iPhones erhalten haben. Nach monatelanger Analyse hat das Forscherteam nun herausgefunden, dass bei der Attacke nicht weniger als 4 Zero-Day-Schwachstellen ausgenutzt worden sind. Sie wurden an Apple gemeldet und sind mittlerweile gepatcht.

Bereits im Sommer hatte Kaspersky die ausgeklügelte Kampagne aufgedeckt. Die Forscher des IT-Security-Unternehmens mit Hauptsitz in Moskau fanden auf iPhones von Dutzenden Mitarbeitenden eine bislang unbekannte, spezifisch auf Apple-Geräte ausgelegte Malware. Bei der Analyse entdeckten Sicherheitsspezialisten Infektionsspuren, die bis ins Jahr 2019 zurückreichten.

Da das Team die genauen Fähigkeiten der Angreifer nicht kannte, fürchteten die Forscher, dass die Mikrofone der Geräte abgehört und Nachrichten mitgelesen werden. Sie mussten ihre Treffen persönlich vereinbaren und platzierten die Geräte zum Teil in abgeschotteten Taschen. Dies geht aus dem ausführlichen technischen Bericht hervor.

Mittlerweile gibt es Patches für die Lücken

Die Analyse zeigt, dass die Angreifer durch eine Schwachstelle in einer Schriftverarbeitungsbibliothek eindrangen und danach eine Lücke im Memory-Mapping-Code ausnutzten, um Zugriff auf den physischen Speicher zu erlangen. Zwei weitere Schwachstellen sorgten dafür, dass die neuesten Sicherheitsfunktionen des Apple-Prozessors nicht griffen.

Kurz vor dem verdächtigen Verhalten stellten die Geräte eine Verbindung zu iMessage-Servern her, die für den Empfang von Nachrichten und das Herunterladen von Anhängen zuständig sind. Nach dem Herunterladen einiger Kilobyte an Daten, stellten die Geräte eine Verbindung zu einem weiteren Server her und tauschten mit diesem in unter einer Minute Daten aus; danach verbanden sie sich länger mit weiteren Servern.

CVE-2023-32435, Mittlerweile sind Patches für die 4 Lücken verfügbar. Es handelt sich um: CVE-2023-32434 CVE-2023-38606 und CVE-2023-41990 . Sie betreffen iPhones, iPods, iPads, macOS-Geräte, Apple TV und Apple Watch. Neben Kaspersky-Mitarbeitern sollen auch ausländische Diplomaten in Russland sowie Privatpersonen von den Angriffen betroffen sein.

Die Urheber der Angriffe sind nicht bekannt. Der russische Geheimdienst FSB wirft den USA vor, die Kampagne gefahren zu haben. Möglich sei sie nur gewesen, weil Apple mit dem US-Geheimdienst zusammengearbeitet habe, so der FSB. Er legte keine Beweise vor, Apple dementiert die Anschuldigungen.