Es war ein Angriff, wie man ihn selten zuvor gesehen hatte. Per iMessage versandte Malware nistete sich auf den iPhones der Empfänger ein. Und das ganz von selbst, ohne dass die Telefonbesitzer eine Datei öffnen oder einen Link aufrufen mussten. Der digitale Schädling sammelte Fotos, Standortdaten, Mikrofonaufnahmen und andere Daten und verschickte diese an die Angreifer.

Enthüllt wurden die Angriffe im vergangenen Juni durch das russische IT-Sicherheitsunternehmen Kaspersky. Einige von dessen Mitarbeitern waren selbst Ziel der "Triangulation" getauften Schadsoftware, der man zu diesem Zeitpunkt bereits ein halbes Jahr auf der Spur war. Mittlerweile weiß man noch mehr.

Fokus auf Nato-Staaten

Rund vier Jahre lang liefen die Angriffe, die iOS-Versionen bis 15.7 betrafen. Wie viele Betroffene es gibt, ist unklar. Es könnten Tausende sein. Bei Kaspersky geht man davon aus, dass das eigene Unternehmen nicht das Hauptziel war, sondern die Attacke vor allem Mitarbeitern an Botschaften in Russland galt.

Der Fokus soll dabei auf Vertretungen von Nato-Staaten, ehemaligen Sowjetrepubliken sowie China und Israel gelegen haben. Das staatliche russische Cybersicherheitszentrum beschuldigte bereits im Juni Apple, gemeinsam mit der NSA hinter "Triangulation" zu stecken. Beweise dafür blieb man bisher schuldig. Der iPhone-Hersteller hatte die Anschuldigungen zurückgewiesen.

Unbemerkter Angriff per iMessage

Den iMessages waren bösartige Dateien angehängt, die automatisch geöffnet wurden und sich vier Schwachstellen zu eigen machten. Diese wurden mittlerweile von Apple behoben. Von einem Leck betroffen war dabei auch ein geheim gehaltenes, sprich nicht öffentlich dokumentiertes Feature, das abseits von Apple und Chipdesigner ARM kaum jemandem bekannt gewesen sein dürfte.

Um ans Ziel zu gelangen, wurde – grob erklärt – zunächst eine Schwachstelle bei einer nicht dokumentierten Implementierung von Truetype-Schriftarten ausgenutzt, um gängige Exploit-Absicherungen zu umgehen, erläutert Ars Technica. Diese Implementierung bringt die "Adjust"-Anweisung mit, über die limitierte Codeausführung möglich ist, von der die Angreifer Gebrauch machten. Sie existiert seit den 1990ern und wurde mittlerweile per Patch entfernt.

In weiterer Folge machten die Cyberkriminellen sich auch eine Lücke in einer bisher unbekannten, hardwaregestützten Absicherungsfunktion namens XNU zunutze, was es ermöglichte, die Speicherinhalte im iOS-Systemkernel dauerhaft zu manipulieren. Im Tandem mit einer Schwachstelle im Safari-Browser ermöglichte dies die Erlangung von vollständigen Systemrechten (Root), um damit die Malware vollends und für den Nutzer unbemerkt im System zu verankern. XNU wurde von den Kaspersky-Forschern erst nach mehreren Monaten an Angriffsrekonstruktion entdeckt. Auch die Angreifer dürften sie per Reverse-Engineering gefunden haben.

Angreifer dürften staatliche Verbindung haben

Allerdings gilt diese Verankerung der Malware nur für eine laufende Sitzung. Starteten Nutzer ihr Handy neu, verschwand die Infektion. Die Angreifer lösten dieses Problem, in dem sie wieder die iMessage-Nachricht mit gefährlicher Beifracht verschickten, um die Bespitzelung von Neuem zu starten. Mehr über die Malware und ihre Erforschung präsentierten die Sicherheitsexperten jüngst am 37. Chaos Communication Congress (37c3).

Kaspersky stuft die Malware als Advanced Persistent Threat (APT) ein und sieht sie als bisher womöglich fortgeschrittenste Attacke dieser Art. Solcherlei Angriffe setzen hohes technisches Know-how und umfangreichere Ressourcen voraus. Dementsprechend erfolgen sie häufig durch staatliche Hacker oder Gruppierungen mit engen Verbindungen zu einer Regierung. Wer hinter "Operation Triangulation" steckt, ist bis dato immer noch ungeklärt. (red, 28.12.2023)