Operation Triangulation

Operation Triangulation ist der Codename für einen mutmaßlich gezielten Cyberangriff eines unbekannten Advanced Persistent Threat auf iPhones und iPads von Sicherheitsforschern, unter anderem der Firma Kaspersky Lab. Der Angriff, der im Juni 2023 erstmals bekannt gegeben wurde, zeichnet sich durch eine für IOS-Angriffe beispiellose technische Komplexität aus. unter anderem wurde eine Kette von vier Zero-Day-Exploits genutzt. Kaspersky spricht bei dem Angriff von dem ausgefeiltesten Angriff, den sie jemals analysiert haben. Dabei ziehen die Wissenschaftler Parallelen zu den Angriffen durch die Spionagesoftware Pegasus der NSO Group und andere Spionagesoftware, wie Predator, welche in ihrer Komplexität vergleichbar seien. Man geht von mehreren Tausend Angriffsopfern aus.^{[1] [2] [3]}

Es handelte sich um einen Spionageangriff, der darauf abzielte, Nachrichten und Passwörter von Geräten zu extrahieren, Gespräche aufzuzeichnen und Standorte zu verfolgen. Die genaue Zahl der Opfer ist aufgrund der ausgeklügelten Tarnung der Angreifer unbekannt. Einige Quellen gehen von mehreren Tausend Opfern aus, darunter befinden sich kommerzielle, staatliche und diplomatische Organisationen in Russland sowie dessen Vertretungen in Übersee.^{[4] [5]}

Neben den Sicherheitsforschern von Kaspersky und weiteren Mitarbeitern der Firma wurde mutmaßlich ein chinesischer Sicherheitsforscher angegriffen. Außerdem gibt es Hinweise, dass die Malware, die bei dieser Operation verwendet wurde, auch bei Angriffen auf indische Oppositionspolitiker und Personen in 150 weiteren Ländern verwendet wurde.^{[1] [6]}

Zu Beginn des Jahres 2023 erkannten Wissenschaftler der Firma Kaspersky auffällige Datenströme von firmeneigenen iPhones und iPads. Die Schadsoftware wurde für Spionagezwecke entwickelt und ist äußerst unauffällig. Daraufhin wurden die Geräte auf Spuren des Angriffs untersucht. Entdeckt wird sie lediglich, wenn es zu einem ungewöhnlichen Datenaustausch mit infizierten iPhones kommt. Mithilfe der Software mvt-ios konnten Vermittler den Angriffsverlauf rekonstruieren. Den Spuren des Angriffs lassen den Rückschluss zu, dass die ersten Infektionen bereits im 2019 stattgefunden haben. Bei der Ermittlung musste mit größter Vorsicht vorgegangen werden, damit die Angreifer diese Maßnahmen nicht bemerken. Das bedeutete, dass die betroffenen Geräte zur Untersuchung in den Flugmodus oder zum Teil in faradaysche Käfige gesetzt wurden.^[7] Die frühesten Spuren deuten darauf hin, dass die Operation mindestens seit 2019 lief. Kaspersky veröffentlichte am 1. Juni 2023 eine erste Meldung zur Operation Triangulation. Zu diesem Zeitpunkt waren einige Details der verwendeten Malware noch unbekannt, der Angriff lief weiter.^[8] Während einer mehrere Monate dauernden Untersuchung wurden nach und nach weitere Details veröffentlicht.^{[9] [10] [11]} Die Wissenschaftler haben zudem beim 37. Chaos Communication Congress ihre Erkenntnisse vorgestellt.^[1]

21. Juni 2023: Kaspersky veröffentlicht eine Studie über das bei dem Angriff verwendete Kernmodul TriangleDB.^{[12] [13]}

Am selben Tag veröffentlicht Apple Updates für iOS 15.x und 16.x, die zwei der bei dem Angriff ausgenutzten Sicherheitslücken beheben: CVE-2023-32434 im iOS-Kernel und CVE-2023-32435 in der WebKit-Browser-Engine. Diese Schwachstellen ermöglichten es, iPhones durch Umgehung der iOS-Sicherheitssysteme unbemerkt zu infizieren.^{[14] [15]}

24. Juli 2023: Apple veröffentlicht Updates für iOS 15.x und 16.x, die die Sicherheitslücke CVE-2023-38606 im iOS-Kernel und CVE-2023-41990 im Textverarbeitungssystems FontParser beheben. Auch diese Schwachstellen waren Teil der Infektionskette für Operation Triangulation.^{[16] [17]}

23. Oktober 2023: Kaspersky veröffentlicht Daten über die durch die Angreifer in mehreren Schritten erfolgende Validierung potenzieller Opfer. Dieses Herausfiltern ermöglichte es Angreifern, nur die von ihnen beabsichtigten Ziele zu infizieren und nicht von IT-Sicherheitsbeauftragten entdeckt zu werden.^[18]

26. Oktober 2023: Auf dem Security Analyst Summit wird ein Bericht vorgestellt. Dieser gibt Auskunft über den Untersuchungsprozess der Operation Triangulation sowie die Bemühungen, alle Komponenten der Infektionskette zu identifizieren.^[19]

27. Dezember 2023: Auf dem Chaos Communication Congress wird ein Bericht über die vollständige Angriffskette und die vier Sicherheitslücken vorgestellt, die bei dem Angriff genutzt wurden, einschließlich undokumentierter Funktionsfeatures von Apple-Prozessoren.^{[20] [21] [22] [23] [24]}

28. Dezember 2023: Der Hacker Hector Martin erfährt von der Verwendung bislang undokumentierter Funktionen von Apple-Prozessoren in der Operation Triangulation und teilt sein Wissen über deren mögliche Mechanismen und Zwecke.^{[25] [26] [27]}

Operation Triangulation zielte auf iPhones und iPads ab. Zum Zeitpunkt des ersten Berichts von Kaspersky konnte die verwendete Malware iOS bis zur Version 15.7 angreifen.^[8] Später fanden die Experten heraus, dass Teile des Programmcodes so zugeschnitten waren, dass selbst Geräte mit iOS-Versionen vor iOS 8 angegriffen werden können, was darauf hinweist, dass die Malware eine sehr lange Zeit in Verwendung war.^[11] Außerdem konnten die Sicherheitsforscher zeigen, dass der Angriff darauf ausgelegt war, iOS-Systeme bis iOS 16.2 anzugreifen.^[28] Zwei der verwendeten Sicherheitslücken (CVE-2023-32434 und CVE-2023-32435) wurden mit einem Sicherheitsupdate für iOS 15.7.7 geschlossen.^[6] Obwohl keine Fälle der Malware auf macOS-Systemen bekannt sind, deuten Hinweise im Quellcode darauf hin, dass eine ähnliche Malware für macOS entwickelt wurde oder Teile der verwendeten Malware auch für macOS verwendet werden können.^[10]

Zielpersonen erhalten bei der Erstinfektion eine unsichtbare^[1] Nachricht auf dem Messengerdienst iMessage mit einer Malware als Anhang. Der bösartige iMessage-Anhang, der als .watchface (ein Uhrendesign - im Grunde eine ZIP-Datei mit eingebetteter PDF-Datei) verpackt ist, führt einen Code aus, der Safari im Hintergrund öffnet aufgrund einer Sicherheitslücke wird hierfür keine Aktion des Nutzers benötigt.^[8] Die auf Safari geöffnete Webseite enthält ein Validierungsskript, das die Parameter des infizierten Smartphones analysiert und entscheidet, ob die Infektion fortgesetzt werden soll.^[29] Daraufhin lädt der iMessage-Anhang zwei weitere, zu Beginn verschlüsselte,^[7] Module der Schadsoftware herunter, die allerlei Tests durchführen und Spuren des Angriffs verwischen sollen. Die heruntergeladenen Komponenten gewähren außerdem noch mehr Zugriffsrechte auf dem Gerät und verbreiten außerdem Spyware mit umfassendem Zugriff auf die Inhalte und Funktionen des Geräts.^{[30] [31] [32]} Zudem kommt zur eindeutigen Identifizierung der Opfer ein Canvas-Fingerprinting-Nutzerverfolgungs-Technik zum Einsatz, das ein Dreieck auf der Webseite erscheinen lässt und daraus eine Prüfsumme berechnet. Dieses Dreieck ist der Namensgeber der gesamten Kampagne.^[33]

In diesen Phasen nutzt der Angriff die Zero-Day-Sicherheitslücken CVE-2023-41990, CVE-2023-32434 und CVE-2023-38606 aus.

Anschließend, nach bestandener Überprüfung also, sendet die Operation Triangulation zahlreiche Informationen über das Gerät sowie die Ergebnisse der Tests zu einem Server, welcher daraus analysieren soll, ob es sich um ein Zielgerät handelt oder ob das Gerät zur Analyse der Malware genutzt wird. Damit wollen die Angreifer erreichen, dass die Malware ihr Ziel erreicht und nicht vor dem Erfolg der Operation neutralisiert wird.^[11] Bei diesem Vorgehen nutzt das Skript auf der Website zusätzlich die Sicherheitslücke CVE-2023-32435 aus und lädt einen Binärcode in den Speicher des Geräts, wodurch es Root-Konto-Rechte erlangt und eine detailliertere Prüfung des Smartphones durchführt, die den Interessen der Angreifer entspricht. Um Spuren zu verwischen, werden anschließend mithilfe ebendiesen binären Validators die Textnachricht sowie die Crash-Logs des Betriebssystems gelöscht. Nachdem die Schadsoftware Root-Zugriff über eine Sicherheitslücke im Kernel von iOS erlangt hat, lädt sie weitere Module von einem Server nach, die für eine volle Einsatzfähigkeit benötigt werden. Darunter befindet sich das Kernmodul, das von Kaspersky TriangleDB genannt wurde.^[10] Die verwendete Schadsoftware war jedoch nicht in der Lage, sich dauerhaft auf dem Gerät zu speichern. Sie arbeitet ausschließlich im Speicher des Smartphones, sodass der Angriff durch einen Neustart beendet und die Schadsoftware gelöscht werden konnte. Jedoch wurden die attackierten Geräte häufig nach einem Neustart erneut angegriffen.^{[8] [34] [35]} Dies war vermutlich eine Sicherheitsmaßnahme, da eine fehlende ausführbare Datei es den Sicherheitsforschern erschwert, die Schadsoftware zu finden.^[7] Sollte binnen 30 Tagen kein Neustart erfolgt sein, deinstalliert sich TriangleDB selbstständig, sofern die Angreifer der Malware keinen Befehl geben, um dies zu verhindern.^[10]

Kaspersky fiel bei der Analyse auf, dass die Schadsoftware auf undokumentierte Prozessorregister, die in sämtlichen Arm-Chips des Unternehmens zu finden sind, zugreift und diese mit einem ganz spezifischen und geheimen Code angesprochen werden. Die Schadsoftware umgeht auf diese Weise den Speicherschutz in den jüngsten Generationen der jüngsten Generationen von Apple-Prozessoren (A12-A16) und macht sich auf diese Weise den Exploit für die Sicherheitslücke des Betriebssystemkerns CVE-2023-38606 zu Nutze.

Der Exploit schreibt in MMIO-Register, die in der Dokumentation nicht beschrieben sind und von iOS-Anwendungen oder dem iOS-Betriebssystem selbst nicht verwendet werden. Dadurch kann der Exploit-Code den hardwaregeschützten Bereich des iOS-Kernelspeichers verändern. Kaspersky-Forscher vermuten, dass dieser Mechanismus wahrscheinlich zur Fehlerbehebung des Prozessors selbst entwickelt wurde.^{[36] [37] [38]}

Der bekannte Sicherheitsexperte Steve Gibson sprach dagegen von gezielt eingebauten Backdoors für westliche Geheimdienste. Kaspersky ging nicht soweit und meinte, dass es sich auch um Funktionen für Debuggen und Testen handeln könne, wobei es natürlich verheerend sei, dass diese nicht ordentlich geschützt wurden.^[39]

Einige Experten sind der Meinung, dass "nur sehr wenige, wenn überhaupt, außerhalb von Apple und Chiplieferanten wie ARM Holdings" von dieser Funktion wissen könnten.^[40]

Hector Martin beschrieb einen möglichen Ausnutzungsmechanismus, der auf dem direkten Schreiben in den Cache-Speicher basiert und es in einigen Fällen ermöglicht, die Schutzmechanismen zu umgehen.^{[41] [42]}

Operation Triangulation ist in seiner technischen Komplexität für iOS-Angriffe beispiellos: Die Infektionskette besteht aus 14 Schritten, die sich vier Zero-Day-Sicherheitslücken und undokumentierte Hardware-Funktionen von Apple-Prozessoren zu Nutze machen.^{[43] [44]} Bei voller Einsatzbereitschaft verfügt die modular aufgebaute Malware über eine Reihe von Befehlen zum Sammeln von Informationen über das System und seinen Nutzer und konnte, falls notwendig, weiteren Schadcode aus dem Internet als Plug-in nachladen.^[8]

Eines der Module der Malware, genannt „msu3h", konnte mit dem Mikrofon des Geräts den Nutzer abhören, sofern der Akkuladezustand über 10 % ist, standardmäßig 3 Stunden am Stück. Dies war auch im Flugmodus möglich.^{[45] [46] [47]} Um sich zu tarnen, gab es die Möglichkeit, keine Aufnahme zu erstellen, wenn die System-Logs aufgezeichnet werden, ein Zeichen dafür, dass ein Gerät von Sicherheitsforschern überprüft wird. Ein weiteres Modul, basierend auf dem Code des iphone-dataprotection-tools von Google, kann den Schlüsselbund des Geräts auslesen, Daten extrahieren, den Standort des Opfers verfolgen und Dateien und Prozesse auf dem Smartphone verändern.^[48] Um auf die internen Daten einiger iOS-Apps zugreifen zu können, hatte die Malware mehrere Module, die SQLite-Datenbanken auslesen können, zum Beispiel Datenbanken für Meta-Daten von Fotos, welche per Künstlicher Intelligenz katalogisiert werden^[1] , oder SMS-Nachrichten, sowie die Datenbanken der Instant-Messenger Telegram und WhatsApp. Ein weiteres Modul nutzt GPS und GSM-Ortung, um die Position des Gerätes festzustellen.^[11]

Obwohl die Personen hinter Operation Triangulation zahlreiche Maßnahmen durchführten, die ein Erkennen eines Angriffs erschweren, wie zum Beispiel das Löschen von Dateien, in denen man einen Angriff deutlich sehen könnte (wie zum Beispiel Logs), kann man auf kompromittierten Geräten Spuren eines stattgefundenen Angriffs erkennen.

Auch in iTunes-Backups der betroffenen Geräte können zuverlässig Spuren eines Angriffs entdeckt werden. Da diese Dateien auf dem iOS-Gerät selbst nicht zugänglich sind, wird ein Backup des iPhones über iTunes auf einem Computer erstellt und anschließend analysiert. Zur Analyse wird das Dienstprogramm triangle_check verwendet.^{[49] [50] [51]} Diesen Weg, um die Spuren zu entdecken, beschreiben die Wissenschaftler von Kaspersky in ihrem ersten Artikel zur Operation. Darunter findet sich auch eine Liste der Domains, die im Zusammenhang mit dem Angriff stehen, welche seit 2019 registriert sind.^{[8] [52]}

Für vollständig kompromittierte Geräte empfehlen die Forscher die folgende Reihenfolge von Maßnahmen, die eine erneute Infektion verhindern: Zurücksetzen auf die Werkseinstellungen, Deaktivieren von iMessage und Aktualisieren von iOS auf eine neuere Version.^{[53] [54]}

Der bösartige Code von Operation Triangulation stellt Verbindungen zu den Servern der Angreifer her. Eine Liste dieser Server wurde bereits öffentlich zugänglich gemacht.^[55] Durch das von den Wissenschaftlern veröffentliche Tool für Windows, Linux und macOS auf GitHub kann die Erkennung von Spuren automatisiert erfolgen und dadurch deutlich vereinfacht.^{[9] [56]}

Ein typisches Anzeichen für eine Infektion des Smartphones durch die Operation Triangulation-Malware kommt zum Vorschein, wenn es unmöglich ist, iOS auf eine neuere Version zu aktualisieren. Allerdings existieren gleichfalls Fälle bereits infizierter Geräte, die weiterhin normal aktualisiert werden konnten.^[57]

Für vollständig kompromittierte Geräte empfehlen die Forscher die folgende Reihenfolge von Maßnahmen, die eine erneute Infektion verhindern: Zurücksetzen auf die Werkseinstellungen, Deaktivieren von iMessage und Aktualisieren von iOS auf eine neuere Version.^{[58] [59]}

Die hohe Komplexität des Angriffs, der insgesamt vier Zero-Day-Sicherheitslücken nutzt, lässt den Schluss zu, dass der Angriff durch einen staatlichen oder quasi-staatlichen Akteur durchgeführt wurde. Informationen der Zeit zufolge schätzen Sicherheitsexperten die Kosten für die Vorbereitung und Durchführung der Operation auf mehrere Millionen Euro, was sie zu einem der teuersten Cyberangriffe aller Zeiten machen würde. Der russische Geheimdienst FSB beschuldigt indirekt die NSA, hinter der Operation zu stecken. Auch beschuldigt der FSB Apple, dass sie mit dem US-Geheimdienst zusammengearbeitet hätten, um diesen Angriff zu ermöglichen, was Apple noch am selben zurückwies.^[6] In der Erklärung des FSB heißt es, dass mehrere tausend Telefone infiziert wurden, darunter auch solche außerhalb Russlands in NATO-Ländern, im postsowjetischen Raum, in Israel, Syrien und China.^[60]

Kaspersky hat jedoch zu möglichen Hinterleuten bis jetzt keine Aussagen gemacht.^[1] Sie haben auch keiner Hackergruppe oder einem Land den Angriff zugeschrieben.

Es ist anzumerken, dass der FSB und Kaspersky unabhängige Erklärungen abgegeben haben. Einige Experten glauben jedoch, dass sich beide auf die Operation Triangulation beziehen.^{[61] [62]}

Der Exploit-Programmcode der Operation Triangulation wurde als der komplexeste der Geschichte bezeichnet.^[63]

Zwei Merkmale des Angriffs sind besonders bemerkenswert: das Wissen der Angreifer um bislang undokumentierte Apple-Chip-Funktionen sowie der Einsatz viererlei Zero-Day-Exploits bei einem einzigen Angriff.^[64]

Der Kryptograph Bruce Schneier bezeichnete den Angriff als "völlig verrückt in seiner hohen Komplexität" und als "nationalstaatliches Zeug".^[65]

Auch Elon Musk äußerte sein Interesse angesichts der Komplexität des Angriffs und möglichen Abwehrmethoden.^[66]

Apple hat öffentlich Vorwürfe zurückgewiesen, mit Geheimdiensten zusammengearbeitet zu haben, um Hintertüren einzubauen.

Das Unternehmen veröffentlichte mehrere Aktualisierungspakete, um jene iOS-Schwachstellen zu beheben, auf die die Operation Triangulation abzielte.

Im Juli und August 2023 wurde bekannt, dass die Verwendung von Apple-Smartphones und -Tablets für offizielle Zwecke in mehreren russischen Regierungs- und Wirtschaftsorganisationen verboten wurde. Darunter figurieren auch das Ministerium für Digitalisierung, das Ministerium für Handel und Industrie, das Verkehrsministerium, die Föderale Steuerbehörde und die Russischen Eisenbahnen. Später, im Jahr 2023, trafen die Zentralbank und das Katastrophenschutzministerium die gleiche Entscheidung.^[67]

Im September 2023 wurde bekannt, dass die chinesische Regierung beschlossen hat, das Verbot der iPhone-Nutzung nicht nur auf Regierungsangestellte, sondern auch auf staatlich kontrollierte Unternehmen auszuweiten.^[68]

Im Jahr 2024 kündigte das südkoreanische Verteidigungsministerium ein Verbot von iPhones aus Sicherheitsgründen an. Android-Handys waren allerdings nicht vom Verbot betroffen.^[69]

1. ↑ ^{a b c d e f} Eva Wolfangel: Mit unsichtbaren Textnachrichten Handys gehackt. In: Zeit Online. Zeit Online GmbH, 27. Dezember 2023, abgerufen am 27. Dezember 2023. 
2. ↑ https://www.heise.de/news/Operation-Triangulation-Raffiniertester-Exploit-aller-Zeiten-auf-iPhones-9583427.html
3. ↑ https://www.derstandard.de/consent/tcf/story/3000000201148/triangulation-jahrelange-iphone-ueberwachung-hebelte-geheime-abwehrfunktion-aus
4. ↑ https://www.connect-professional.de/software-services/kaspersky-mit-details-zur-operation-triangulation.327821.html
5. ↑ https://www.zeit.de/digital/datenschutz/2023-12/kaspersky-spionage-staatliche-hacker-schadsoftware/komplettansicht
6. ↑ ^{a b c} Sergiu Gatlan: Apple fixes zero-days used to deploy Triangulation spyware via iMessage. In: Bleeping Computer. Bleeping Computer® LLC, 21. Juni 2023, abgerufen am 27. Dezember 2023 (englisch). 
7. ↑ ^{a b c} Leonid Bezvershenko, Georgy Kucherin, Igor Kuznetsov, Boris Larin, Valentin Pashkov: How to catch a wild triangle. In: SecureList. AO Kaspersky Lab, 26. Oktober 2023, abgerufen am 27. Dezember 2023 (englisch). 
8. ↑ ^{a b c d e f} Igor Kuznetsov, Valentin Pashkov, Leonid Bezvershenko, Georgy Kucherin: Operation Triangulation: iOS devices targeted with previously unknown malware. In: SecureList. AO Kaspersky Lab, 1. Juni 2023, abgerufen am 27. Dezember 2023 (englisch). 
9. ↑ ^{a b} Igor Kuznetsov, Valentin Pashkov, Leonid Bezvershenko, Georgy Kucherin: In search of the Triangulation: triangle_check utility. In: SecureList. AO Kaspersky Lab, 2. Juni 2023, abgerufen am 27. Dezember 2023 (englisch). 
10. ↑ ^{a b c d} Georgy Kucherin, Leonid Bezvershenko, Igor Kuznetsov: Dissecting TriangleDB, a Triangulation spyware implant. In: SecureList. AO Kaspersky Lab, 21. Juni 2023, abgerufen am 27. Dezember 2023 (englisch). 
11. ↑ ^{a b c d} Georgy Kucherin, Leonid Bezvershenko, Valentin Pashkov: The outstanding stealth of Operation Triangulation. In: SecureList. AO Kaspersky Lab, 23. Oktober 2023, abgerufen am 27. Dezember 2023 (englisch). 
12. ↑ https://thehackernews.com/2023/06/new-report-exposes-operation.html
13. ↑ https://www.derstandard.de/consent/tcf/story/3000000201148/triangulation-jahrelange-iphone-ueberwachung-hebelte-geheime-abwehrfunktion-aus
14. ↑ https://support.apple.com/en-us/103836
15. ↑ https://support.apple.com/en-us/103837
16. ↑ https://support.apple.com/en-us/120332
17. ↑ https://support.apple.com/en-us/120338
18. ↑ https://securelist.com/triangulation-validators-modules/110847/
19. ↑ https://securelist.com/operation-triangulation-catching-wild-triangle/110916/
20. ↑ https://fahrplan.events.ccc.de/congress/2023/fahrplan/events/11859.html
21. ↑ https://www.macworld.com/article/2191252/operation-triangulation-iphone-attack-ios-16-2-exploits.html
22. ↑ https://www.bleepingcomputer.com/news/security/iphone-triangulation-attack-abused-undocumented-hardware-feature/
23. ↑ https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/
24. ↑ https://www.kaspersky.de/blog/sas-2023-research/30625/
25. ↑ https://social.treehouse.systems/@marcan/111655847458820583
26. ↑ https://all4it.ch/2024/01/03/operation-triangulation-vortrag-auf-dem-37%D1%813/
27. ↑ https://www.netzwoche.ch/news/2024-01-08/iphone-hack-kaspersky-veroeffentlicht-details-zur-operation-triangulation
28. ↑ Boris Larin: Operation Triangulation: The last (hardware) mystery. In: SecureList. AO Kaspersky Lab, 9. Januar 2024, abgerufen am 11. Januar 2024 (englisch). 
29. ↑ https://www.it-daily.net/it-sicherheit/cybercrime/operation-triangulation-spyware-implantat-kann-dateien-erstellen-aendern-exfiltrieren-und-loeschen
30. ↑ https://www.swisscybersecurity.net/news/2024-01-08/iphone-hack-kaspersky-veroeffentlicht-details-zur-operation-triangulation
31. ↑ https://www.connect-professional.de/security/kaspersky-triangledb-loescht-sich-selbst-bei-neustart-des-geraets.326585.html
32. ↑ https://www.heise.de/news/Operation-Triangulation-Raffiniertester-Exploit-aller-Zeiten-auf-iPhones-9583427.html
33. ↑ https://www.it-daily.net/it-sicherheit/cybercrime/operation-triangulation-spyware-implantat-kann-dateien-erstellen-aendern-exfiltrieren-und-loeschen
34. ↑ https://netzpalaver.de/2023/06/21/spyware-implantat-kann-dateien-erstellen-aendern-exfiltrieren-und-loeschen/
35. ↑ https://tarnkappe.info/artikel/it-sicherheit/malware/operation-triangulation-ios-geraete-im-visier-einer-neu-entdeckten-malware-275842.html
36. ↑ https://www.connect-professional.de/security/hardware-feature-ausschlaggebend-fuer-operation-triangulation.328500.html
37. ↑ https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/
38. ↑ https://www.bleepingcomputer.com/news/security/iphone-triangulation-attack-abused-undocumented-hardware-feature/
39. ↑ Andreas Proschofsky: Aufregung über angebliche Hintertür in Apple-Chips für iPhones und Macs. In: Der Standard. STANDARD Verlagsgesellschaft m.b.H., 7. Januar 2023, abgerufen am 11. Januar 2023. 
40. ↑ https://arstechnica.com/security/2023/12/exploit-used-in-mass-iphone-infection-campaign-targeted-secret-hardware-feature/
41. ↑ https://social.treehouse.systems/@marcan/111655847458820583
42. ↑ https://www.netzwoche.ch/news/2024-01-08/iphone-hack-kaspersky-veroeffentlicht-details-zur-operation-triangulation
43. ↑ https://www.infosecurity-magazine.com/news/operation-triangulation-ios-details/
44. ↑ https://t3n.de/news/operation-triangulation-appe-steve-gibson-1599247/
45. ↑ https://arstechnica.com/security/2023/12/exploit-used-in-mass-iphone-infection-campaign-targeted-secret-hardware-feature/
46. ↑ https://www.cybersecurity-news.de/ios-attacke-durch-operation-triangulation-experten-decken-tiefe-einblicke-in-ausgekluegelten-angriff-auf/
47. ↑ https://www.youtube.com/watch?v=jDxLeXoVyoU
48. ↑ https://securelist.com/triangledb-triangulation-implant/110050/
49. ↑ https://www.connect-professional.de/software-services/kaspersky-mit-details-zur-operation-triangulation.327821.html
50. ↑ https://www.bleepingcomputer.com/news/security/new-tool-scans-iphones-for-triangulation-malware-infection/
51. ↑ https://github.com/KasperskyLab/triangle_check/releases
52. ↑ Bill Marczak: Triangulation: Did "the NSA" fail to learn the lessons of NSO? In: Medium. 3. Juni 2023, abgerufen am 27. Dezember 2023 (englisch). 
53. ↑ https://securelist.com/operation-triangulation/109842/
54. ↑ https://www.it-daily.net/it-sicherheit/mobile-security/hardware-feature-in-iphones-ausschlaggebend-fuer-operation-triangulation
55. ↑ https://securelist.com/operation-triangulation/109842/
56. ↑ Leonid Bezvershenko, Igor Kuznetsov, Youri Karpeev, Alexander Filatov: triangle_check. In: GitHub. AO Kaspersky Lab, 1. Juni 2023, abgerufen am 27. Dezember 2023 (englisch). 
57. ↑ https://www.kaspersky.com/blog/triangulation-attack-on-ios/48353/
58. ↑ https://securelist.com/operation-triangulation/109842/
59. ↑ https://www.it-daily.net/it-sicherheit/mobile-security/hardware-feature-in-iphones-ausschlaggebend-fuer-operation-triangulation
60. ↑ http://www.fsb.ru/fsb/press/message/single.htm!id=10439739@fsbMessage.html
61. ↑ https://arstechnica.com/information-technology/2023/06/clickless-ios-exploits-infect-kaspersky-iphones-with-never-before-seen-malware/
62. ↑ https://safe-surf.ru/specialists/news/693258/
63. ↑ https://arstechnica.com/security/2023/12/exploit-used-in-mass-iphone-infection-campaign-targeted-secret-hardware-feature/
64. ↑ https://www.techspot.com/news/101363-triangulation-iphone-spyware-used-apple-hardware-exploits-unknown.html
65. ↑ https://www.schneier.com/blog/archives/2024/01/new-iphone-exploit-uses-four-zero-days.html
66. ↑ https://www.thestreet.com/technology/elon-musk-flags-sophisticated-attack-against-apples-iphones
67. ↑ https://rg.ru/2023/08/13/mincifry-vvelo-zapret-na-ispolzovanie-smartfonov-apple-dlia-sluzhebnyh-celej.html
68. ↑ https://www.euronews.com/business/2023/09/07/apple-faces-partial-iphone-ban-in-china
69. ↑ https://www.koreaherald.com/article/3377612

• IT-Sicherheit