Kaspersky hat neue Einzelheiten über einen ausgefeilten Angriff auf iOS-Geräte enthüllt, bei dem ein Implantat namens TriangleDB verwendet wurde. Dieses Implantat verfügt über mindestens vier verschiedene Module, um Mikrofonaufzeichnungen zu erstellen, den iCloud Schlüsselbund zu extrahieren, Daten aus SQLite-Datenbanken verschiedener Apps zu stehlen und den Standort des Opfers zu ermitteln.
Der Angriff, bekannt als „Operation Triangulation“, wurde erstmals im Juni 2023 entdeckt. Es wurde bekannt, dass iOS durch eine Zero-Click-Exploit angegriffen wurde, die damalige Zero-Day-Sicherheitslücken (CVE-2023-32434 und CVE-2023-32435) ausnutzte. Über die iMessage-Plattform konnte ein schadhaftes Attachment versandt werden, welches die volle Kontrolle über das Gerät und die Benutzerdaten erlangen konnte.
Obwohl der Umfang und die Identität des Bedrohungsträgers bisher unbekannt sind, wurde Kaspersky zu Beginn des Jahres selbst zum Ziel und startete daraufhin eine Untersuchung. Sie identifizierten eine Backdoor namens TriangleDB, die nach Erlangen von Root-Rechten auf dem iOS-Gerät des Ziels eingesetzt wird.
Laut Kaspersky erfolgt die Implementierung des Implantats nach zwei Validierungsstadien – JavaScript Validator und Binary Validator. Diese Stadien überprüfen, ob das Zielgerät nicht mit einer Forschungsumgebung verbunden ist, um sicherzustellen, dass ihre Zero-Day-Exploits und das Implantat nicht entdeckt werden.
Der Angriff beginnt mit einem unsichtbaren iMessage-Anhang, den ein Opfer erhält. Dieser führt zu einer Reihe von Schritten, die unter anderem darauf abzielen, Spuren einer möglichen Ausnutzung zu entfernen, Beweise für den schädlichen iMessage-Anhang zu löschen und Informationen über das Gerät zu sammeln.
Ein bemerkenswertes Merkmal des Implantats ist seine Fähigkeit, die Mikrofonaufzeichnung zu pausieren, wenn der Bildschirm des Geräts eingeschaltet ist, was darauf hinweist, dass die Angreifer nicht entdeckt werden wollten.
„Die Angreifer hinter Triangulation haben große Anstrengungen unternommen, um eine Entdeckung zu vermeiden“, sagten die Forscher von Kaspersky. „Sie zeigten auch ein tiefes Verständnis für iOS, da sie im Laufe des Angriffs private, nicht dokumentierte APIs nutzten.“