O notório spyware Pegasus está de volta aos noticiários esta semana, quando uma equipe de pesquisadores de segurança destaca uma nova”ameaça tripla”de explorações usadas pelo malware para conduzir ataques cibernéticos direcionados ao longo de 2022.
Pegasus é um ferramenta de spyware”industrial”que foi desenvolvida pela empresa de tecnologia israelense NSO Group, aparentemente exclusivamente para uso em esforços de contraterrorismo por parte dos governos. Embora o Pegasus exista desde 2014, ele ganhou as manchetes dois anos atrás, quando uma análise forense conduzida por Amnistia Internacional e o Citizen Lab da Universidade de Toronto revelaram o spyware foi responsável por “vigilância ilegal generalizada, persistente e contínua e abusos dos direitos humanos”, tendo sido usado para visar e espionar dezenas de “defensores dos direitos humanos (HRDs) e jornalistas em todo o mundo”.
Em um movimento raro, a Apple subsequentemente lançou um processo maciço contra o NSO Group, descrevendo a empresa e aqueles que trabalham para ela como “mercenários amorais do século 21 que criaram máquinas altamente sofisticadas de vigilância cibernética que convidam a rotina e abuso flagrante”. Também criou um fundo para organizações como Citizen Lab e Amnesty Tech para ajudar em suas pesquisas e defesa de vigilância cibernética, semeando-o com US $ 10 milhões iniciais e prometendo adicionar ao pote quaisquer danos que surjam do processo contra o NSO Group.
Embora a Apple espere processar o NSO Group, infelizmente, os tribunais se movem lentamente e, enquanto isso, o Pegasus continua a ser usado para fins nefastos. As coisas ficaram mais calmas após um relatório de meados de 2021 de que o spyware Pegasus tinha como alvo funcionários do Departamento de Estado dos EUA. No entanto, um novo relatório do ?Citizen Lab? revela que Pegasus ainda está ativo, mas tem voado sob o radar no ano passado.
Uma ameaça tripla de clique zero
Especificamente, os pesquisadores do Citizen Lab descobriram três novas “cadeias de exploração de clique zero” usadas pela Pegasus ao longo de 2022 para aumentar os ataques cibernéticos contra os direitos humanos defensores, jornalistas e outros “alvos da sociedade civil” em todo o mundo.
Longe de ser usado para seu propósito declarado de contraterrorismo e combate ao tráfico humano e outros crimes organizados, o Pegasus parece ter se tornado uma ferramenta de regimes opressores. Os últimos alvos da Pegasus identificados pelo Citizen Labs envolvem dois defensores de direitos humanos do Centro PRODH, uma organização no México que representa vítimas de abusos militares, como execuções extrajudiciais e desaparecimentos forçados.
As infecções por Pegasus entre os membros do Centro PRODH remontam pelo menos a 2015, como Citizen Lab explica em seu relatório:
“Um caso amplamente divulgado de desaparecimentos relevantes para este caso de infecção por spyware ocorreu em setembro de 2015, quando um grupo de 43 alunos em uma escola colégio de formação desapareceram à força depois de viajar para Iguala para protestar contra as práticas de contratação de professores. Seu desaparecimento subsequente é referido como o “sequestro em massa de Iguala” ou simplesmente o “caso Ayotzinapa”. Em 2017, informamos que três membros da organização mexicana de assistência jurídica e direitos humanos, Centro PRODH, foram alvo do spyware Pegasus, junto com investigadores envolvidos no caso Ayotzinapa. No momento da segmentação, que foi em 2016, o Centro PRODH representava as famílias dos alunos desaparecidos.”
No entanto, como o jogo de gato e rato entre a Apple e a Pegasus continua, o NSO Group teve que seja mais criativo ao encontrar novas explorações, incluindo as chamadas vulnerabilidades de”clique zero”, nas quais o Pegasus pode se instalar e começar a espionar um iPhone sem exigir nenhuma interação do usuário.
O Citizen Lab encontrou três delas exploits perigosos em dois iPhones rodando iOS 15 e iOS 16, usados por funcionários do Centro PRODH. Um pertencia a Jorge Santiago Aguirre Espinosa, diretor do Centro PRODH, que também havia sido identificado como alvo do Pegasus em 2017. A outra pertenceu a María Luisa Aguilar Rodríguez, Coordenadora Internacional do Centro PRODH. A Pegasus supostamente estava ativa no dispositivo do Sr. Aguirre em 22 de junho de 2022, a mesma data em que a comissão da verdade do México realizou uma cerimônia de lançamento de sua investigação sobre os abusos dos direitos humanos cometidos pelo exército mexicano. O telefone da Sra. Rodríguez foi infectado no dia seguinte e posteriormente infectado em outras duas ocasiões em setembro de 2022.
As três explorações, chamadas LATENTIMAGE, FINDMYPWN e PWNYOURHOME, aproveitam as vulnerabilidades de segurança no iOS 15 e iOS 16, especificamente falhas no código subjacente aos recursos Find My, Messages e Home da Apple. A maioria dos ataques foi encontrada em dispositivos executando o iOS 15, uma vez que era o atual na época, embora o PWNYOURHOME pudesse ser implantado no iOS 16.0.3.
Felizmente, o Citizen Lab não viu nenhum caso desses em dispositivos com iOS 16.1 ou mais recente. Isso sugere que a Apple corrigiu essas falhas e, no caso do PWNYOURHOME, os pesquisadores compartilharam “artefatos forenses” que ajudaram a Apple a fortalecer as coisas com o HomeKit no iOS 16.3.1.
Infelizmente, provavelmente é apenas uma questão de tempo até que o NSO Group encontre novos que possam ser explorados. É por isso que é sempre uma boa ideia manter seu iPhone atualizado com a versão mais recente do iOS – especialmente quando as notas de lançamento da Apple indicam correções para vulnerabilidades que foram “ativamente exploradas”.
Usando o modo de bloqueio do iOS 16
Os pesquisadores do Citizen Lab também notaram que o PWNYOURHOME acionou avisos em dispositivos nos quais o novo modo de bloqueio de alta segurança da Apple foi ativado. Inicialmente, a exploração acionou notificações de um usuário desconhecido tentando acessar uma casa, demonstrando que o modo de bloqueio funciona conforme planejado.
Embora as versões posteriores do exploit pareçam ter encontrado uma maneira de bloquear as notificações, os pesquisadores não encontraram evidências de que ele pudesse realmente ignorar o Modo de bloqueio-apenas silenciar as notificações que alertavam o usuário sobre as tentativas de acesso não autorizado.
Apesar da natureza insidiosa do Pegasus, a boa notícia para a maioria de nós é que ele continua sendo um ataque direcionado. Além disso, as ferramentas desenvolvidas pelo NSO Group são vendidas apenas para governos, e é por isso que são chamadas de “spyware patrocinado pelo estado”. Claro, nem todas as agências governamentais são éticas quando se trata de vigilância. No entanto, ainda é seguro dizer que é improvável que você encontre Pegasus, a menos que esteja envolvido no tipo de trabalho que pode atrair a atenção de um regime corrupto.
Para aqueles que são usuários de “alto risco”, é aí que entra o modo de bloqueio da Apple Embora envolva muitos comprometimentos de usabilidade para a maioria das pessoas comuns, o Citizen Lab o incentiva muito para quem pensa que pode estar em risco de ser alvo de Pegasus ou outro spyware patrocinado pelo estado.
