Did Russia 'backdoor' a Russian diplomat's iPhone?

Operation Triangulation: Sofistikovaná Špionáž na iPhonech

30/05/2026

Rating: 4.75 (12169 votes)

IPhony jsou často vnímány jako pevnosti kybernetické bezpečnosti, zařízení téměř imunní vůči sofistikovaným útokům, které běžně trápí jiné platformy. Tato reputace je zasloužená díky robustním bezpečnostním prvkům a přísné kontrole ekosystému. Nicméně, realita kybernetické války je složitější a ukazuje, že ani ta nejlepší obrana nemusí být neprolomitelná. Nedávný objev, který otřásl světem mobilní bezpečnosti, odhalil „Operation Triangulation“ – útok, který po léta nepozorovaně kompromitoval tisíce iPhonů, včetně těch, které patřily zaměstnancům samotné bezpečnostní firmy Kaspersky.

Was a hidden hardware feature on the iPhone hacked?
But Kaspersky’s latest discovery concerns a hidden hardware feature of the iPhone that’s undocumented. Somehow, the attackers were able to abuse a vulnerability in this hardware feature. But it’s unclear how they knew the hardware feature was there to actually attempt to hack it.

Tento bezprecedentní útok, detailně popsán výzkumníky z Kaspersky, využíval komplexní řetězec čtyř do té doby neznámých zranitelností, tzv. zero-day, a co je nejvíce zarážející, zaměřil se na dosud neznámou hardwarovou funkci. Nejednalo se o běžnou phishingovou kampaň nebo útok vyžadující interakci uživatele. Byl to tzv. zero-click exploit, což znamená, že infikoval zařízení bez jakéhokoli zásahu oběti, aniž by se na iPhonu projevily jakékoli známky kompromitace. Pojďme se ponořit do hlubin této operace, která změnila pohled na zranitelnost mobilních zařízení a zdůraznila neustálou potřebu vigilance v digitálním světě.

Obsahový index

Co je Operation Triangulation a jak dlouho trvala?

Operation Triangulation představuje jednu z nejsofistikovanějších špionážních kampaní, jaké kdy byly na zařízeních iPhone objeveny. Poprvé byla odhalena v červnu 2023, ale analýza ukázala, že útoky probíhaly po dobu nejméně čtyř let, konkrétně od roku 2019. Cílem této kampaně byly desítky, ne-li tisíce iPhonů, přičemž mezi oběťmi byli i zaměstnanci moskevské bezpečnostní firmy Kaspersky a podle ruských úředníků také tisíce lidí pracujících v diplomatických misích a ambasádách v Rusku. To naznačuje, že za útokem stál vysoce pokročilý aktér s národní podporou.

Princip útoku spočíval v zasílání záludných iMessage příloh, které aplikace zpracovala na pozadí, aniž by uživateli cokoli naznačila. Tyto přílohy využívaly sérii zranitelností, které umožnily útočníkům získat plnou kontrolu nad zařízením, včetně přístupu k mikrofonu, fotografiím, geolokaci a dalším citlivým datům, která byla následně odesílána na servery kontrolované útočníky. Ačkoli infekce nepřežila restart zařízení, útočníci udržovali kampaň při životě jednoduše tím, že po restartu zařízení zaslali novou škodlivou iMessage zprávu.

Did Kaspersky backdoor thousands of iPhones?
Kaspersky researchers are detailing “an attack that over four years backdoored dozens if not thousands of iPhones, many of which belonged to employees of Moscow-based security firm Kaspersky.” It’s a zero-click exploit that makes use of four iPhone zero-days.

Čtyři zero-day zranitelnosti v akci

Srdcem Operation Triangulation byl řetězec čtyř zero-day zranitelností, které byly pečlivě zkombinovány k vytvoření bezklikové exploitace. Tyto zranitelnosti fungovaly na všech verzích iOS až do iOS 16.2. Jejich využití bylo klíčové pro postupný průnik do systému a obcházení jeho obranných mechanismů. Pojďme si je detailněji představit:

  • CVE-2023-41990: Zranitelnost v instrukci TrueType fontu ADJUST
    Tato zranitelnost umožňovala vzdálené spuštění kódu (RCE) prostřednictvím škodlivé iMessage přílohy. Zajímavostí je, že tato instrukce existovala od počátku devadesátých let, než byla odstraněna v rámci opravy. Útočníci ji zneužili k manipulaci s aplikací zpráv bez jakékoli interakce uživatele.
  • CVE-2023-32434: Celočíselné přetečení v systémových voláních XNU (mach_make_memory_entry a vm_map)
    Tato chyba umožňovala útočníkům získat rozsáhlý přístup ke čtení/zápisu do celé fyzické paměti zařízení na uživatelské úrovni. To je kritický krok, protože přístup k fyzické paměti otevírá dveře k dalším manipulacím se systémem.
  • CVE-2023-32435: Využití v exploitu Safari
    Tato zranitelnost byla použita v pozdější fázi útoku, konkrétně v exploitu pro prohlížeč Safari, k provedení shellcode. Po získání počátečního přístupu útočníci spustili skrytou instanci prohlížeče Safari, která stáhla a provedla další fázi útoku.
  • CVE-2023-38606: Využití hardwarových MMIO registrů k obejití Page Protection Layer (PPL)
    Tato zranitelnost je považována za nejzajímavější a nejkritičtější. Umožnila útočníkům obejít pokročilé hardwarové ochrany paměti (Page Protection Layer – PPL), které jsou navrženy k ochraně integrity systému zařízení i poté, co útočník získá schopnost manipulovat s pamětí jádra. Bez jejího obejití by útočníci nemohli provádět klíčové post-exploitové techniky, jako je injektování škodlivého kódu do jiných procesů nebo modifikace kódu jádra či citlivých dat jádra. Tato ochrana je přítomna i v procesorech Apple M1 a M2.

Záhadná hardwarová funkce a její zneužití

Nejvíce fascinující detail Operation Triangulation spočívá v zacílení na doposud neznámou hardwarovou funkci, která se ukázala být klíčovou pro celou kampaň. Zranitelnost v této funkci umožnila útočníkům obejít pokročilé hardwarové ochrany paměti, které jsou navrženy tak, aby chránily integritu systému zařízení i poté, co útočník získá schopnost manipulovat s pamětí podkladového jádra. Na většině jiných platforem, jakmile útočníci úspěšně zneužijí zranitelnost jádra, získají plnou kontrolu nad kompromitovaným systémem. Na zařízeních Apple vybavených těmito ochranami však tito útočníci stále nejsou schopni provádět klíčové post-exploitové techniky, jako je injektování škodlivého kódu do jiných procesů nebo modifikace kódu jádra či citlivých dat jádra. Tato výkonná ochrana byla obejita zneužitím zranitelnosti v této tajné funkci.

Kaspersky analyzoval, že CVE-2023-38606 cílí na neznámé MMIO (memory-mapped I/O) registry v procesorech Apple A12-A16 Bionic, které pravděpodobně souvisí s GPU koprocesorem čipu a nejsou uvedeny v DeviceTree. Útočníci tyto registry využili k manipulaci s hardwarovými funkcemi a řízení přímého přístupu k paměti během útoku. To jim umožnilo zapisovat data na určitou fyzickou adresu a obejít hardwarovou ochranu paměti zápisem dat, cílové adresy a hash dat do neznámých hardwarových registrů čipu, které firmware nepoužívá.

Jak útočníci získali znalost o takto obskurním a zneužitelném mechanismu, zůstává neznámé. Kaspersky spekuluje, že zahrnutí této nezdokumentované hardwarové funkce do finální spotřebitelské verze iPhonu je buď chybou, nebo byla ponechána k asistenci inženýrům Apple při ladění a testování. Tato úroveň objevu a zneužití naznačuje extrémně vysokou úroveň technických schopností, pravděpodobně na úrovni státního aktéra.

Jak útok probíhal krok za krokem?

Útočný řetězec Operation Triangulation byl ohromující svou složitostí a vícevrstvým přístupem:

  1. Počáteční fáze (iMessage): Útok začal zasláním škodlivé iMessage přílohy na cílové zařízení. Důležité je, že tato příloha byla zpracována aplikací bez jakýchkoli viditelných známek pro uživatele (bezkliková povaha).
  2. Vzdálené spuštění kódu (RCE): Tato příloha využila zranitelnost CVE-2023-41990 (v instrukci TrueType fontu ADJUST) k dosažení vzdáleného spuštění kódu.
  3. Injektáž JavaScript exploitu: Následovalo použití programování orientovaného na návrat/skok a vícestupňových skriptů napsaných v dotazovacím jazyce NSExpression/NSPredicate. Tyto skripty patchovaly prostředí knihovny JavaScriptCore, aby mohly spustit exploit pro eskalaci privilegií napsaný v JavaScriptu.
  4. Obfuskace a manipulace s pamětí JavaScriptCore: JavaScript exploit byl silně obfuskán, aby byl zcela nečitelný a minimalizoval svou velikost. Přesto obsahoval kolem 11 000 řádků kódu, primárně věnovaných parsování a manipulaci s pamětí JavaScriptCore a jádra. Využíval funkci pro ladění JavaScriptCore DollarVM ($vm) k získání schopnosti manipulovat s pamětí JavaScriptCore ze skriptu a provádět nativní API funkce.
  5. Přístup k fyzické paměti a obejití PAC: Exploit byl navržen tak, aby podporoval staré i nové iPhony, a zahrnoval obejití Pointer Authentication Code (PAC) pro exploataci nejnovějších modelů. Využil zranitelnost CVE-2023-32434 (celočíselné přetečení v systémových voláních XNU) k získání přístupu ke čtení/zápisu k celé fyzické paměti zařízení na uživatelské úrovni.
  6. Obejití PPL: Následovalo využití hardwarových MMIO registrů k obejití Page Protection Layer (PPL), což bylo zmírněno jako CVE-2023-38606.
  7. Spuštění špionážního softwaru a čištění stop: Po zneužití všech zranitelností mohl JavaScript exploit provádět na zařízení cokoli, včetně spuštění špionážního softwaru. Útočníci se však rozhodli: (a) spustit proces IMAgent a injektovat payload, který vyčistí stopy po exploataci ze zařízení; (b) spustit proces Safari v neviditelném režimu a přesměrovat jej na webovou stránku s další fází.
  8. Ověření oběti a Safari exploit: Webová stránka obsahovala skript, který ověřil oběť, a pokud kontroly prošly, obdržela další fázi: Safari exploit. Safari exploit využil CVE-2023-32435 k provedení shellcode.
  9. Druhý kernel exploit a získání root oprávnění: Shellcode spustil další kernel exploit ve formě souboru Mach objektu. Ten využíval stejné zranitelnosti: CVE-2023-32434 a CVE-2023-38606. Byl také masivní co do velikosti a funkčnosti, ale zcela odlišný od kernel exploitu napsaného v JavaScriptu. Získal root oprávnění a pokračoval v provádění dalších fází, které načetly spyware.
  10. Perzistence: Ačkoli infekce nepřežila restart, útočníci zajistili perzistenci zasláním nové škodlivé iMessage zprávy krátce po restartu zařízení.

Kdo stál za útokem a cíle?

Sofistikovanost Operation Triangulation je na úrovni národního státu. Kaspersky, který útok objevil ve své vlastní síti, neposkytl žádné spekulace ohledně identity útočníka. Nicméně, ruská zpravodajská služba (FSB) okamžitě obvinila Apple z poskytnutí backdooru NSA proti ruskému vládnímu a ambasádnímu personálu. Dosud však neexistují žádné důkazy, které by tato obvinění potvrdily. Původ útoků tak zůstává neznámý, ačkoli cílení na diplomatické mise a zaměstnance globální bezpečnostní firmy silně naznačuje motivy spojené se státní špionáží.

Did Apple provide the NSA with a backdoor against Russia?
Kaspersky discovered the attack within its own network, and Russia's intelligence service (FSB) immediately accused Apple of providing the NSA with a backdoor against Russian government and embassy personnel. So far, the origin of the attacks remains unknown, and there has been no proof of these allegations.

Dopad a opatření: Jak se chránit?

Objev Operation Triangulation je připomínkou, že žádné zařízení není zcela bezpečné, a zdůrazňuje důležitost rychlých bezpečnostních aktualizací. Apple na zjištění Kaspersky reagoval poměrně rychle a zranitelnosti opravil:

  • CVE-2023-32434 a CVE-2023-32435: Opraveny 21. června 2023 s vydáním iOS/iPadOS 16.5.1 a iOS/iPadOS 15.7.7.
  • CVE-2023-38606 (hardwarové obejití PPL): Opraveno 24. července 2023 s vydáním iOS/iPadOS 16.6. Apple tuto zranitelnost zmírnil aktualizací stromu zařízení (DeviceTree) tak, aby omezil mapování fyzických adres.
  • CVE-2023-41990 (TrueType font): Opraveno 27. září 2023 s vydáním iOS 17.0.1.

Nejdůležitějším opatřením, které můžete jako uživatel iPhonu udělat, je pravidelná aktualizace vašeho operačního systému iOS na nejnovější dostupnou verzi. Tyto aktualizace často obsahují bezpečnostní záplaty pro nově objevené zranitelnosti, jako byly ty, které zneužila Operation Triangulation. Vzhledem k tomu, že všechny zranitelnosti použité v této kampani byly společností Apple opraveny, je riziko pro běžné uživatele výrazně sníženo, pokud udržují svá zařízení aktuální.

Zde je přehled zranitelností a jejich oprav:

CVE identifikátorPopis zranitelnostiDopad na systémDatum opravy Apple (verze iOS/iPadOS)
CVE-2023-41990Zranitelnost v instrukci TrueType fontu ADJUSTUmožňuje vzdálené spuštění kódu (RCE) přes iMessage bez interakce uživatele (zero-click).27. září 2023 (iOS 17.0.1)
CVE-2023-32434Celočíselné přetečení v systémových voláních XNU (mach_make_memory_entry a vm_map)Poskytuje rozsáhlý přístup ke čtení/zápisu do fyzické paměti zařízení na uživatelské úrovni.21. června 2023 (iOS/iPadOS 16.5.1, 15.7.7)
CVE-2023-32435Zranitelnost využitá v exploitu pro SafariUmožňuje provedení shellcode jako součást vícestupňového útoku.21. června 2023 (iOS/iPadOS 16.5.1, 15.7.7)
CVE-2023-38606Zranitelnost využívající hardwarové MMIO registryUmožňuje obejít ochrannou vrstvu stránek (PPL) a přepsat hardwarové bezpečnostní prvky.24. července 2023 (iOS/iPadOS 16.6)

Často kladené otázky (FAQ)

Byl můj iPhone napaden Operation Triangulation?

Je to vysoce nepravděpodobné. Útok byl extrémně sofistikovaný a zaměřený na vysoce postavené cíle, jako jsou diplomaté a zaměstnanci bezpečnostních firem. Nejednalo se o masový útok na běžné uživatele.

Jak se mohu chránit před podobnými sofistikovanými útoky?

Nejdůležitější je udržovat svůj iPhone a iPad neustále aktualizovaný na nejnovější verzi iOS/iPadOS. Apple pravidelně vydává bezpečnostní záplaty, které opravují zranitelnosti. Dále buďte opatrní na neznámé zprávy nebo přílohy, i když se jedná o bezklikové útoky, prevence je vždy klíčová.

Does Apple have a legal case against the UK government?
Neither Apple nor the Home Office, which initiated the demand on behalf of the U.K. government, have so far commented on the specific legal case as it remains subject to U.K. national security rules, preventing even the existence of the case itself. Following the order, Apple reportedly appealed the order to the Investigatory Powers Tribunal.

Co je to zero-day zranitelnost?

Zero-day zranitelnost je bezpečnostní chyba v softwaru nebo hardwaru, která je známá útočníkům (a často jimi zneužívaná), ale pro kterou neexistuje veřejně dostupná oprava nebo záplata. „Zero-day“ odkazuje na počet dní, po které je vývojářům softwaru známa daná chyba.

Je tento útok stále aktivní?

Ne, všechny čtyři zranitelnosti, které Operation Triangulation využívala, byly společností Apple opraveny. Pokud máte svůj iPhone aktualizovaný na iOS 17.0.1 (nebo novější, v závislosti na modelu), jste chráněni před tímto konkrétním útokem.

Závěr

Operation Triangulation je jasným důkazem, že v digitálním světě nelze polevit v ostražitosti. Ukázal, že i nejbezpečnější zařízení, jako jsou iPhony, mohou být cílem extrémně sofistikovaných a vytrvalých útoků, které dokážou zneužít i neznámé hardwarové funkce. Objev Kaspersky a následné rychlé kroky Applu k opravě zranitelností jsou zásadní pro udržení důvěry uživatelů a zabezpečení jejich dat. Pro nás jako uživatele z toho plyne jednoznačné ponaučení: pravidelné aktualizace operačního systému jsou naprosto nezbytné a představují naši první a nejúčinnější linii obrany proti neustále se vyvíjejícím kybernetickým hrozbám.

Chceš-li si přečíst další články podobné jako Operation Triangulation: Sofistikovaná Špionáž na iPhonech, navštiv kategorii iPhone.

Go up