Pegasus, шпионская программа, используемая правительствами для тайного проникновения в iPhone журналистов и политических оппонентов, использовала три эксплойта с нулевым щелчком мыши для iOS 15 и iOS 16 в Мексике в 2022 году. NSO Group является печально известным создателем Pegasus, инструментом слежки, продаваемого правительствам и правоохранительным органам по всему миру для шпионажа за людьми. Известная тем, что использовалась для взлома iPhone правозащитников и журналистов, эта шпионская программа представляет собой серьезную угрозу безопасности и конфиденциальности людей, которые представляют интерес для клиентов NSO Group.
В то время как ранее было обнаружено, что Pegasus использует эксплойты с нулевым кликом, чтобы обойти защиту iOS 14, Citizen Lab обнаружила еще три эксплойта с нулевым кликом. На этот раз все три были использованы для проникновения в iPhone под управлением iOS 15 и iOS 16.
Группа обнаружила новые эксплойты в октябре 2022 года в рамках расследования, проведенного совместно с мексиканской организацией по защите цифровых прав человека Ren ed Defensa de los Derechos Digitales. Изучая iPhone, используемые правозащитниками в Мексике, были обнаружены три эксплойта, которые стали совершенно новыми способами заражения устройств с помощью Pegasus.
В некоторых случаях атаки совпадали с событиями 2022 года Дело Айотзинапы, имея в виду исчезновение студентов, протестовавших против найма учителей в 2015 году. Правозащитная организация Centro PRODH и мексиканские члены юридической помощи стали мишенями в новой волне заражений в течение 2022 года.
Три эксплойта для iPhone с нулевым щелчком мыши
Первый эксплойт под названием «FINDMYPWN,» был найден для iOS 15.5 и iOS 15.6 и использовал процесс fmfd, связанный с Find My. При завершении и повторном запуске процесса было замечено, что эксплойт вызывает запись и удаление элемента в каталоге кэша, связанном с Find My.
Распространено относительно мало информации об эксплойте, отчасти потому, что исследования продолжаются. Индикаторы заражения не разглашаются, так как Citizen Lab считает, что NSO Group пытается избежать обнаружения, и предоставление таких подробностей помогло бы производителю шпионского ПО.
Второй эксплойт под названием «PWNYOURHOME» представляет собой двухфазный эксплойт с нулевым кликом, где каждая фаза нацелена на разные процессы. В первой фазе использовался сбой демона в HomeKit, а во второй – загрузка PNG-изображений из iMessage, что приводит к сбою BlastDoor.
Неясно, как эксплойт выходит из «песочницы» BlastDoor, но известно, что в конечном итоге он запускает Pegasus через mediaserverd.
CitizenLab сообщила Apple о проблеме HomeKit, что привело к исправлению в iOS 16.3.1.
Похоже, что режим блокировки в iOS предупреждает пользователей о попытках атаки на iPhone с использованием эксплойта, отображая уведомления о том, что были предприняты попытки получить доступ к Home. Однако, поскольку нет никаких признаков того, что NSO прекратила развертывание эксплойта, возможно, NSO придумала, как избежать появления уведомлений.
После обнаружения обоих эксплойтов был обнаружен третий, после того как команда перепроверила результаты судебной экспертизы более ранних случаев. Эксплойт, датированный январем 2022 года и затрагивающий iOS 15, был назван «LATENTIMAGE» из-за того, что оставлял «очень мало следов» на устройстве.
Полагают, что эксплойт использует Find My, хотя Citizen Lab не смогла определить, был ли это первоначальный вектор атаки.
Продолжающаяся угроза
Pegasus продолжает оставаться угрозой, по мнению Citizen Lab, из-за эволюции атак. Две из трех атак являются первыми эксплойтами с нулевым кликом, которые команда наблюдала и которые используют две отдельные поверхности удаленной атаки на iPhone.
«Как мы отметили в этом отчете, все более активные усилия NSO Group по блокированию исследователей и сокрытию следов заражения, хотя в конечном итоге и безуспешные, подчеркивают сложные проблемы подобных расследований, включая баланс между публикацией показателей и сохранением возможности выявления будущих заражений,»
- пишет Citizen Lab.
Для пользователей, подверженных высокому риску, Citizen Lab предлагает включить режим блокировки, так как «увеличиваются затраты, которые несут злоумышленники.»
Комментарии (0)