NSO Group, fabricantes da ferramenta de espionagem Pegasus
Pegasus, o spyware usado pelos governos para invadir secretamente iPhones de jornalistas e oponentes políticos, usou três exploits de clique zero que afetaram o iOS 15 e o iOS 16 no México em 2022.
NSO Group é o infame criador do Pegasus, uma ferramenta de vigilância vendida a governos e agências de aplicação da lei em todo o mundo para espionar os dispositivos das pessoas. Famosamente usado para hackear os iPhones de ativistas de direitos humanos e jornalistas, o spyware é uma grande ameaça à segurança e à privacidade das pessoas que são de interesse dos clientes do Grupo NSO.
Embora anteriormente o Pegasus tenha usado explorações de clique zero para derrotar a segurança do iOS 14, o Citizen Lab descobriu instâncias em que mais três explorações de clique zero. Desta vez, os três foram usados para se infiltrar em iPhones rodando iOS 15 e iOS 16.
O grupo descobriu os novos exploits em outubro de 2022, como parte de uma investigação com a organização mexicana de direitos humanos digitais Ren ed Defensa de Los Derechos Digitales. Examinando iPhones usados por defensores dos direitos humanos no México, os três exploits foram descobertos como novas formas de Pegasus infectar dispositivos.
Em alguns casos, os ataques coincidiram com os eventos de 2022 no”caso Ayotzinapa,”referindo-se ao desaparecimento de estudantes que protestavam contra as práticas de contratação de professores em 2015. A organização de direitos humanos Centro PRODH e membros mexicanos de assistência jurídica foram alvos da nova onda de infecções ao longo de 2022.
Três exploits de clique zero no iPhone
O primeiro exploit, intitulado”FINDMYPWN”, funcionou contra o iOS 15.5 e iOS 15.6 e usou um processo fmfd associado ao Find My. Com a saída e reinicialização do processo, observou-se que o exploit fez com que um item fosse gravado e excluído dentro de um diretório de cache associado ao Find My.
Relativamente poucas informações foram divulgadas sobre o exploit, em parte porque a pesquisa está em andamento, mas também para pesquisas contínuas. Os indicadores de uma infecção não estão sendo divulgados, pois o Citizen Lab acredita que há esforços do NSO Group para evitar a detecção, e fornecer esses detalhes ajudaria o produtor de spyware.
Uma segunda exploração chamada”PWNYOURHOME”é uma exploração de clique zero em duas fases, em que cada fase tem como alvo processos diferentes. Uma falha do daemon no HomeKit foi usada em uma primeira fase, seguida do download de imagens PNG do iMessage que trava o BlastDoor.
Não está claro como o exploit escapa da sandbox BlastDoor, mas sabe-se que o exploit eventualmente lança o Pegasus via mediaserverd.
A CitizenLab divulgou o problema do HomeKit para a Apple, que resultou em uma correção no iOS 16.3.1.
Parece que o modo de bloqueio no iOS avisa os usuários sobre tentativas de ataque ao iPhone usando o exploit, exibindo notificações de que foram feitas tentativas de acessar uma página inicial. No entanto, como não há indicações de que o NSO tenha parado de implantar o exploit, pode ser que o NSO tenha descoberto como evitar o acionamento das notificações.
Depois de descobrir os dois exploits, um terceiro foi descoberto depois que a equipe verificou novamente a análise forense para casos anteriores. Datado de janeiro de 2022 e afetando o iOS 15, o exploit foi apelidado de”LATENTIMAGE”devido a deixar”poucos vestígios”em um dispositivo.
Acredita-se que o exploit usa Find My, embora o Citizen Lab não tenha conseguido determinar se foi o vetor de ataque inicial.
Uma ameaça contínua
Pegasus continua a ser uma ameaça, de acordo com o Citizen Lab, devido à evolução dos ataques. Dois dos três são os primeiros exploits de clique zero que a equipe observou que usam duas superfícies de ataque remoto separadas no iPhone.
“Como observamos neste relatório, os esforços crescentes do NSO Group para bloquear pesquisadores e ocultar vestígios de infecção, embora ainda sem sucesso, destacam os complexos desafios desse tipo de investigação, incluindo equilibrar a publicação de indicadores enquanto mantendo a capacidade de identificar infecções futuras”, escreve o Citizen Lab.
Para usuários de alto risco, o Citizen Lab oferece que eles devem ativar o modo de bloqueio, devido ao”aumento do custo incorrido pelos invasores”.
