La chaîne d’attaque de logiciels espions a utilisé une fonctionnalité matérielle de l’iPhone jusqu’alors inconnue, selon un rapport

Des chercheurs de la société de cybersécurité Kaspersky ont déclaré avoir découvert une fonctionnalité matérielle obscure qui a probablement été exploitée par des pirates informatiques lors d’attaques de logiciels espions précédemment signalées contre des utilisateurs d’iPhone.

Le annonce est une mise à jour de l’enquête des chercheurs sur une campagne qu’ils ont baptisée Opération Triangulation. Actifs depuis 2019, les pirates attaquent des cibles en envoyant des iMessages contenant des pièces jointes malveillantes et en exploitant quatre failles de sécurité zero-day, ont indiqué les chercheurs.

Le gouvernement russe a imputé cette campagne aux États-Unis, affirmant qu’ils avaient piraté « des milliers de téléphones Apple » pour espionner les diplomates russes. Apple a nié ces affirmations et Kaspersky n’a attribué l’opération Triangulation à aucun gouvernement ou groupe de piratage connu.

Les nouvelles découvertes de Kaspersky sont liées à une vulnérabilité corrigée identifiée comme CVE-2023-38606. Apple a corrigé cette faille en juillet, affirmant que la société “était au courant d’un rapport selon lequel ce problème aurait pu être activement exploité”.

Les chercheurs ont essentiellement déclaré que les pirates ont utilisé une fonctionnalité matérielle obscure pour contourner la sécurité matérielle destinée à protéger le noyau – la partie centrale d’un système d’exploitation qui, entre autres, fournit un pont entre le logiciel et le matériel.

« Si nous essayons de décrire cette fonctionnalité et comment les attaquants en ont profité, tout se résume à ceci : ils sont capables d’écrire des données à une certaine adresse physique tout en contournant la protection matérielle de la mémoire en écrivant les données, l’adresse de destination. , et le hachage des données vers des registres matériels inconnus de la puce inutilisés par le micrologiciel », ont déclaré les chercheurs.

Selon les chercheurs, la fonctionnalité matérielle jusqu’alors inconnue était très probablement destinée à être utilisée à des fins de débogage ou de test par les ingénieurs Apple ou l’usine, ou elle a été incluse par erreur dans la version grand public finale de l’iPhone.

“Comme cette fonctionnalité n’est pas utilisée par le firmware, nous n’avons aucune idée de la manière dont les attaquants pourraient l’utiliser”, indique le rapport.

Dans un commentaire à Recorded Future News, le porte-parole d’Apple n’a pas fourni plus de détails sur les nouvelles découvertes de Kaspersky et a plutôt envoyé les notes de version du correctif à CVE-2023-38606.

Par rapport aux conclusions similaires faites par Kaspersky au fil des ans, « il s’agit certainement de la chaîne d’attaque la plus sophistiquée que nous ayons jamais vue ». » ont déclaré les chercheurs. L’explication de la société sur la chaîne d’attaque comprend 13 puces distinctes.

Selon Kaspersky, d’autres questions restent sans réponse concernant la faille de sécurité.

« Nous ne savons pas comment les attaquants ont appris à utiliser cette fonctionnalité matérielle inconnue ni quel était son objectif initial. Nous ne savons pas non plus s’il a été développé par Apple ou s’il s’agit d’un composant tiers », ont déclaré les chercheurs.

Une chose que des opérations comme celle-ci montrent clairement est que « les protections matérielles avancées sont inutiles face à un attaquant sophistiqué tant qu’il existe des fonctionnalités matérielles capables de contourner ces protections », a déclaré Kaspersky.