Kaspersky’nin Global Araştırma ve Analiz Ekibi (GReAT), yakın zaman önce düzenlenen Güvenlik Analisti Zirvesinde kötü şöhretiyle bilinen Operation Triangulation ile ilgili soruşturma sürecinin detaylarını açıkladı.
Bu yaz aylarının başında, iOS cihazlarını hedef alan bir Gelişmiş Kalıcı Tehdit (APT) kampanyasını ortaya çıktı. Operation Triangulation olarak adlandırılan bu kampanya, iMessage aracılığıyla tıklama gerektirmeyen açıkları dağıtmak için sofistike bir yöntem kullanıyor ve neticede cihazın ve kullanıcı verilerinin kontrolünü tamamen ele geçiriyor.
GReAT, Operation Triangulation tehdidin öncelikli hedefinin kullanıcı gözetimi olduğunu ve kendi personelini bile etkileyebileceğini değerlendirdi. Saldırının karmaşık yapısı ve iOS ekosisteminin kapalı doğası nedeniyle özel bir ekipler arası görev gücü, ayrıntılı bir teknik analiz yapmak için konu üzerinde önemli miktarda zaman ve kaynak harcadı.
Güvenlik Analisti Zirvesinde Kaspersky uzmanları, dört tanesini daha önce bilinmeyen ve güvenlik araştırmacıları tarafından Apple’a raporlandıktan sonra yamanan sıfırıncı gün açıklarının oluşturduğu toplam beş güvenlik açığından yararlanan Operation Triangulation saldırı zincirinin daha önce gün yüzüne çıkmamış ayrıntılarını paylaştı.
Şirket uzmanları ilk giriş noktasını bir yazı tipi işleme kütüphanesi açığı üzerinden tespit etti. İkinci aşamada, bellek eşleme kodundaki kolayca istismar edilebilen ve son derece etkili bir güvenlik açığı, cihazın fiziksel belleğine erişime izin verdi. Buna ek olarak, saldırganlar en yeni Apple işlemcisinin donanımsal güvenlik özelliklerini atlamak için iki güvenlik açığından daha yararlandılar. Araştırmacılar ayrıca, saldırganların kullanıcı etkileşimi olmadan iMessage aracılığıyla Apple cihazlarına uzaktan virüs bulaştırabilmelerinin yanı sıra, Safari web tarayıcısı aracılığıyla da saldırı gerçekleştirebilecekleri bir platforma sahip olduklarını keşfetti. Bu da beşinci güvenlik açığının keşfedilmesinin ve düzeltilmesinin yolunu açtı.
Apple ekibi, güvenlik araştırmacıları tarafından keşfedilen dört adet sıfır gün açığını (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990) ele alan güvenlik güncellemelerini resmi olarak yayınladı. Bu güvenlik açıkları iPhone, iPod, iPad, macOS cihazları, Apple TV ve Apple Watch dahil olmak üzere geniş bir Apple ürün yelpazesini etkiliyordu.