Operation Triangulation

Operation Triangulation ist der Codename für einen mutmaßlich gezielten Angriff eines unbekannten Advanced Persistent Threat auf iPhones und iPads von Sicherheitsforschern, unter anderem der Firma Kaspersky Lab. Kaspersky spricht bei dem Angriff von dem ausgefeiltesten Angriff, den sie jemals analysiert haben. Dabei ziehen die Wissenschaftler Parallelen zu den Angriffen durch die Spionagesoftware Pegasus der NSO Group und andere Spionagesoftware, wie Predator, welche in ihrer Komplexität vergleichbar seien.^[1]

Betroffene Personen[Bearbeiten | Quelltext bearbeiten]

Neben den Sicherheitsforschern von Kaspersky und weiteren Mitarbeitern der Firma wurde mutmaßlich ein chinesischer Sicherheitsforscher angegriffen. Außerdem gibt es Hinweise, dass die Malware, die bei dieser Operation verwendet wurde, auch bei Angriffen auf indische Oppositionspolitiker und Personen in 150 weiteren Ländern verwendet wurde.^[1][2]

Entdeckung[Bearbeiten | Quelltext bearbeiten]

Zu Beginn des Jahres 2023 erkannten Wissenschaftler der Firma Kaspersky auffällige Datenströme von firmeneigenen iPhones und iPads. Daraufhin wurden die Geräte auf Spuren des Angriffs untersucht. Mithilfe der Software mvt-ios konnte der Verlauf des Angriffs rekonstruiert werden. Dabei musste mit größter Vorsicht vorgegangen werden, damit die Angreifer diese Maßnahmen nicht bemerken. Das bedeutete, dass die betroffenen Geräte zur Untersuchung in den Flugmodus oder zum Teil in faradaysche Käfige gesetzt wurden.^[3] Die frühesten Spuren deuten darauf hin, dass die Operation mindestens seit 2019 lief. Kaspersky veröffentlichte am 1. Juni 2023 eine erste Meldung zur Operation Triangulation. Zu diesem Zeitpunkt waren einige Details der verwendeten Malware noch unbekannt, der Angriff lief weiter.^[4] Während einer mehrere Monate dauernden Untersuchung wurden nach und nach weitere Details veröffentlicht.^[5][6][7] Die Wissenschaftler haben zudem beim 37. Chaos Communication Congress ihre Erkenntnisse vorgestellt.^[1]

Angriff[Bearbeiten | Quelltext bearbeiten]

Betroffene Geräte[Bearbeiten | Quelltext bearbeiten]

Operation Triangulation zielte auf iPhones und iPads ab. Zum Zeitpunkt des ersten Berichts von Kaspersky konnte die verwendete Malware iOS bis zur Version 15.7 angreifen.^[4] Später fanden die Experten heraus, dass Teile des Programmcodes so zugeschnitten waren, dass selbst Geräte mit iOS-Versionen vor iOS 8 angegriffen werden können, was darauf hinweist, dass die Malware eine sehr lange Zeit in Verwendung war.^[7] Außerdem konnten die Sicherheitsforscher zeigen, dass der Angriff darauf ausgelegt war, iOS-Systeme bis iOS 16.2 anzugreifen.^[8] Zwei der verwendeten Sicherheitslücken (CVE-2023-32434 und CVE-2023-32435) wurden mit einem Sicherheitsupdate für iOS 15.7.7 geschlossen.^[2] Obwohl keine Fälle der Malware auf macOS-Systemen bekannt sind, deuten Hinweise im Quellcode darauf hin, dass eine ähnliche Malware für macOS entwickelt wurde oder Teile der verwendeten Malware auch für macOS verwendet werden können.^[6]

Ablauf[Bearbeiten | Quelltext bearbeiten]

Zielpersonen erhalten zu Beginn des Angriffs eine unsichtbare^[1] Nachricht auf dem Messengerdienst iMessage mit einer Malware als Anhang. Aufgrund einer Sicherheitslücke wird der Anhang automatisch ausgeführt, ohne dass eine Aktion des Nutzers benötigt wird.^[4] Dieser Anhang lädt zwei weitere, zu Beginn verschlüsselte,^[3] Module der Schadsoftware herunter, die allerlei Tests durchführen und Spuren des Angriffs verwischen sollen. Darunter befindet sich ein Test, der ein Dreieck zeichnet und daraus eine Prüfsumme berechnet. Aufgrund dieses Dreiecks nannten die Sicherheitsforscher von Kaspersky den Angriff „Operation Triangulation“. Anschließend sendet sie zahlreiche Informationen über das Gerät sowie die Ergebnisse der Tests zu einem Server, welcher daraus analysieren soll, ob es sich um ein Zielgerät handelt oder ob das Gerät zur Analyse der Malware genutzt wird. Damit wollen die Angreifer erreichen, dass die Malware ihr Ziel erreicht und nicht vor dem Erfolg der Operation neutralisiert wird.^[7] Um Spuren zu verwischen, werden anschließend die Textnachricht sowie die Crash-Logs des Betriebssystems gelöscht. Nachdem die Schadsoftware Root-Zugriff über eine Sicherheitslücke im Kernel von iOS erlangt hat, lädt sie weitere Module von einem Server nach, die für eine volle Einsatzfähigkeit benötigt werden. Darunter befindet sich das Kernmodul, das von Kaspersky TriangleDB genannt wurde.^[6] Die verwendete Schadsoftware war jedoch nicht in der Lage, sich dauerhaft auf dem Gerät zu speichern, sodass der Angriff durch einen Neustart beendet werden konnte. Jedoch wurden die attackierten Geräte häufig nach einem Neustart erneut angegriffen.^[4] Dies war vermutlich eine Sicherheitsmaßnahme, da eine fehlende ausführbare Datei es den Sicherheitsforschern erschwert, die Schadsoftware zu finden.^[3] Sollte binnen 30 Tagen kein Neustart erfolgt sein, deinstalliert sich TriangleDB selbstständig, sofern die Angreifer der Malware keinen Befehl geben, um dies zu verhindern.^[6]

Kaspersky fiel bei der Analyse auf, dass die Schadsoftware auf undokumentierte Prozessorregister, die in sämtlichen Arm-Chips des Unternehmens zu finden sind, zugreift und diese mit einem ganz spezifischen und geheimen Code angesprochen werden. Der bekannte Sicherheitsexperte Steve Gibson sprach daraufhin von gezielt eingebauten Backdoors für westliche Geheimdienste. Kaspersky ging nicht soweit und meinte, dass es sich auch um Funktionen für Debuggen und Testen handeln könne, wobei es natürlich verheerend sei, dass diese nicht ordentlich geschützt wurden.^[9]

Fähigkeiten der verwendeten Malware[Bearbeiten | Quelltext bearbeiten]

Bei voller Einsatzbereitschaft verfügt die Malware über eine Reihe von Befehlen zum Sammeln von Informationen über das System und seinen Nutzer und konnte, falls notwendig, weiteren Schadcode aus dem Internet als Plug-in nachladen.^[4] Eines der Module der Malware, genannt „msu3h“, konnte mit dem Mikrofon des Geräts den Nutzer abhören, sofern der Akkuladezustand über 10 % ist, standardmäßig 3 Stunden am Stück. Um sich zu tarnen, gab es die Möglichkeit, keine Aufnahme zu erstellen, wenn die System-Logs aufgezeichnet werden, ein Zeichen dafür, dass ein Gerät von Sicherheitsforschern überprüft wird. Ein weiteres Modul, basierend auf dem Code des iphone-dataprotection-tools von Google, kann den Schlüsselbund des Geräts auslesen. Um auf die internen Daten einiger iOS-Apps zugreifen zu können, hatte die Malware mehrere Module, die SQLite-Datenbanken auslesen können, zum Beispiel Datenbanken für Meta-Daten von Fotos, welche per Künstlicher Intelligenz katalogisiert werden^[1], oder SMS-Nachrichten, sowie die Datenbanken der Instant-Messenger Telegram und WhatsApp. Ein weiteres Modul nutzt GPS und GSM-Ortung, um die Position des Gerätes festzustellen.^[7]

Erkennung[Bearbeiten | Quelltext bearbeiten]

Obwohl die Personen hinter Operation Triangulation zahlreiche Maßnahmen durchführten, die ein Erkennen eines Angriffs erschweren, wie zum Beispiel das Löschen von Dateien, in denen man einen Angriff deutlich sehen könnte (wie zum Beispiel Logs), kann man auf kompromittierten Geräten Spuren eines stattgefundenen Angriffs erkennen. Auch in iTunes-Backups der betroffenen Geräte können zuverlässig Spuren eines Angriffs entdeckt werden. Den Weg, um die Spuren zu entdecken, beschreiben die Wissenschaftler von Kaspersky in ihrem ersten Artikel zur Operation. Darunter findet sich auch eine Liste der Domains, die im Zusammenhang mit dem Angriff stehen, welche seit 2019 registriert sind.^[4][10] Im Folgenden veröffentlichten die Wissenschaftler ein Tool für Windows, Linux und macOS auf GitHub, mit dem die Erkennung von Spuren automatisiert erfolgen kann und die Erkennung deutlich vereinfacht wird.^[5][11]

Rezeption[Bearbeiten | Quelltext bearbeiten]

Die hohe Komplexität des Angriffs, der insgesamt vier Zero-Day-Sicherheitslücken nutzt, lässt den Schluss zu, dass der Angriff durch einen staatlichen oder quasi-staatlichen Akteur durchgeführt wurde. Informationen der Zeit zufolge schätzen Sicherheitsexperten die Kosten für die Vorbereitung und Durchführung der Operation auf mehrere Millionen Euro, was sie zu einem der teuersten Cyberangriffe aller Zeiten machen würde. Der russische Geheimdienst FSB beschuldigt indirekt die NSA, hinter der Operation zu stecken. Auch beschuldigt der FSB Apple, dass sie mit dem US-Geheimdienst zusammengearbeitet hätten, um diesen Angriff zu ermöglichen, was Apple zurückwies.^[2] Kaspersky hat jedoch zu möglichen Hinterleuten bis jetzt keine Aussagen gemacht.^[1]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ ^{a b c d e f} Eva Wolfangel: Mit unsichtbaren Textnachrichten Handys gehackt. In: ZEIT ONLINE. ZEIT ONLINE GmbH, 27. Dezember 2023, abgerufen am 27. Dezember 2023. 
2. ↑ ^{a b c} Sergiu Gatlan: Apple fixes zero-days used to deploy Triangulation spyware via iMessage. In: Bleeping Computer. Bleeping Computer® LLC, 21. Juni 2023, abgerufen am 27. Dezember 2023 (englisch). 
3. ↑ ^{a b c} Leonid Bezvershenko, Georgy Kucherin, Igor Kuznetsov, Boris Larin, Valentin Pashkov: How to catch a wild triangle. In: SecureList. AO Kaspersky Lab, 26. Oktober 2023, abgerufen am 27. Dezember 2023 (englisch). 
4. ↑ ^{a b c d e f} Igor Kuznetsov, Valentin Pashkov, Leonid Bezvershenko, Georgy Kucherin: Operation Triangulation: iOS devices targeted with previously unknown malware. In: SecureList. AO Kaspersky Lab, 1. Juni 2023, abgerufen am 27. Dezember 2023 (englisch). 
5. ↑ ^{a b} Igor Kuznetsov, Valentin Pashkov, Leonid Bezvershenko, Georgy Kucherin: In search of the Triangulation: triangle_check utility. In: SecureList. AO Kaspersky Lab, 2. Juni 2023, abgerufen am 27. Dezember 2023 (englisch). 
6. ↑ ^{a b c d} Georgy Kucherin, Leonid Bezvershenko, Igor Kuznetsov: Dissecting TriangleDB, a Triangulation spyware implant. In: SecureList. AO Kaspersky Lab, 21. Juni 2023, abgerufen am 27. Dezember 2023 (englisch). 
7. ↑ ^{a b c d} Georgy Kucherin, Leonid Bezvershenko, Valentin Pashkov: The outstanding stealth of Operation Triangulation. In: SecureList. AO Kaspersky Lab, 23. Oktober 2023, abgerufen am 27. Dezember 2023 (englisch). 
8. ↑ Boris Larin: Operation Triangulation: The last (hardware) mystery. In: SecureList. AO Kaspersky Lab, 9. Januar 2024, abgerufen am 11. Januar 2024 (englisch). 
9. ↑ Andreas Proschofsky: Aufregung über angebliche Hintertür in Apple-Chips für iPhones und Macs. In: Der Standard. STANDARD Verlagsgesellschaft m.b.H., 7. Januar 2023, abgerufen am 11. Januar 2023. 
10. ↑ Bill Marczak: Triangulation: Did “the NSA” fail to learn the lessons of NSO? In: Medium. 3. Juni 2023, abgerufen am 27. Dezember 2023 (englisch). 
11. ↑ Leonid Bezvershenko, Igor Kuznetsov, Youri Karpeev, Alexander Filatov: triangle_check. In: GitHub. AO Kaspersky Lab, 1. Juni 2023, abgerufen am 27. Dezember 2023 (englisch).