A hírhedt Pegasus spyware ezen a héten ismét a hírekben szerepel, mivel egy biztonsági kutatócsoport rávilágított a rosszindulatú programok által 2022-ben célzott kibertámadások végrehajtására használt új „hármas fenyegetésre”.
A Pegasus egy „ipari” kémprogram-eszköz, amelyet az NSO Group izraeli technológiai cég fejlesztett ki, látszólag pusztán a kormányok terrorizmusellenes erőfeszítéseihez. Míg a Pegasus 2014 óta létezik, két éve került a címlapokra, amikor a Amnesty International és a Torontói Egyetem Citizen Lab felfedte a kémprogramot „széles körben elterjedt, tartós és folyamatos jogellenes megfigyelésért és emberi jogi visszaélésekért” volt felelős, mivel több tucat „emberi jogvédők (HRD) és újságírók megcélzására és kémkedésére használták szerte a világon”.
Ritka lépéssel az Apple ezt követően hatalmas pert indított az NSO Group ellen, és a vállalatot és a neki dolgozókat „amorális 21. századi zsoldosoknak nevezte, akik rendkívül kifinomult kiberfelügyeleti gépezetet hoztak létre, amely rutint kirívó visszaélés.” Alapot is hozott létre olyan szervezetek számára, mint a Citizen Lab és az Amnesty Tech, hogy segítsék kiberfelügyeleti kutatásaikat és érdekképviseletüket, kezdetben 10 millió dollárt biztosítanak neki, és ígéretet tettek arra, hogy hozzáadják az NSO Group elleni perből eredő károk összegét.
Miközben az Apple abban reménykedik, hogy bepereli az NSO Group-ot, sajnos a bíróságok lassan haladnak, és eközben a Pegasust továbbra is aljas célokra használják. A dolgok csendesebbé váltak egy 2021 közepén megjelent jelentés után, amely szerint a Pegasus spyware az Egyesült Államok külügyminisztériuma tisztviselőit vette célba. Azonban a ?Citizen Lab? feltárja, hogy a Pegasus még mindig aktív, de az elmúlt egy évben a radar alatt repült.
Nulla kattintású hármas fenyegetés
Konkrétan a Citizen Lab kutatói három új „nullakattintásos kizsákmányoló láncot” fedeztek fel a Pegasus által 2022-ben az emberi jogok elleni kibertámadások felgyorsítására. védők, újságírók és más „civil társadalom célpontjai” világszerte.
A Pegasus a jelek szerint elnyomó rezsimek eszközévé vált, nem a terrorizmus elleni küzdelem, valamint az embercsempészet és más szervezett bűnözés elleni küzdelemben.. A Citizen Labs által azonosított legújabb Pegasus-célpontok között szerepel a Centro PRODH, a katonai visszaélések, például a bíróságon kívüli gyilkosságok és az erőszakos eltűnések áldozatait képviselő mexikói szervezet két emberi jogi védelmezője.
A Centro PRODH tagjai között a Pegasus fertőzések legalább 2015-ig nyúlnak vissza, ahogy a Citizen Lab jelentésében kifejti:
„Egy széles körben nyilvánosságra hozott eltűnési eset, amely a kémprogram-fertőzés esetére vonatkozott, 2015 szeptemberében történt, amikor egy 43 diákból álló csoport egy tanárnál A kiképző főiskola erőszakkal eltűnt, miután Igualába utaztak, hogy tiltakozzanak a tanárfelvételi gyakorlat ellen. Későbbi eltűnésüket „igualai tömeges emberrablásnak” vagy egyszerűen „Ayotzinapa-ügynek” nevezik. 2017-ben beszámoltunk arról, hogy a mexikói jogsegély-és emberi jogi szervezet, a Centro PRODH három tagját Pegasus kémprogramok támadták meg, valamint az Ayotzinapa-ügyben érintett nyomozókat. A célzás idején, ami 2016-ban volt, a Centro PRODH az eltűnt diákok családjait képviselte.”
Amikor azonban folytatódik az Apple és a Pegasus közötti macska-egér játék, az NSO Csoportnak kénytelen volt legyen kreatívabb az új kizsákmányolások felkutatásában, beleértve az úgynevezett „nulla kattintásos” sebezhetőségeket, amelyekben a Pegasus telepítheti magát, és elkezdhet kémkedni egy iPhone-on anélkül, hogy bármilyen beavatkozást igényelne a felhasználótól.
A Citizen Lab ezek közül hármat talált. veszélyes támadások két iOS 15 és iOS 16 rendszert futtató iPhone készüléken, amelyeket a Centro PRODH munkatársai használnak. Az egyik Jorge Santiago Aguirre Espinosához, a Centro PRODH igazgatójához tartozott, akit szintén Pegazus célpontjaként azonosítottak. 2017-ben. A másik María Luisa Aguilar Rodríguez, a Centro PRODH nemzetközi koordinátora volt. A Pegasus állítólag 2022. június 22-én aktív volt Aguirre úr eszközén, ugyanazon a napon, amikor a mexikói igazságügyi bizottság szertartást tartott a mexikói hadsereg által elkövetett emberi jogi visszaélések kivizsgálására. Ms. Rodríguez telefonja másnap megfertőződött, majd 2022 szeptemberében további két alkalommal.
A három kizsákmányolás, a LATENTIMAGE, FINDMYPWN és PWNYOURHOME, mindegyike kihasználja az iOS 15 és az iOS biztonsági réseit. iOS 16, különösen az Apple Find My, Messages és Home funkcióinak alapjául szolgáló kódban található hibák. A legtöbb támadást az iOS 15 rendszert futtató eszközökön találták, mivel ez akkoriban aktuális volt, bár a PWNYOURHOME telepíthető volt az iOS 16.0.3 rendszeren.
Szerencsére a Citizen Lab egyetlen ilyen esetet sem tapasztalt iOS 16.1 vagy újabb rendszert futtató eszközökön. Ez arra utal, hogy az Apple kijavította ezeket a hibákat, és a PWNYOURHOME esetében a kutatók megosztották azokat a „törvényszéki műtermékeket”, amelyek segítettek az Apple-nek a HomeKit megoldásában az iOS 16.3.1-ben.
Sajnos valószínűleg csak idő kérdése, hogy az NSO Group mikor talál újakat, amelyeket ki lehet használni. Ezért érdemes mindig a legújabb iOS-verzióra frissíteni iPhone-ját – különösen akkor, ha az Apple kiadási megjegyzései az „aktívan kihasznált” biztonsági rések javításait jelzik.
Az iOS 16 Lockdown módjának használata
A Citizen Lab kutatói azt is megjegyezték, hogy a PWNYOURHOME figyelmeztetéseket váltott ki azokon az eszközökön, amelyeken engedélyezve volt az Apple új, nagy biztonságú zárolási módja. A kizsákmányolás kezdetben értesítéseket váltott ki egy ismeretlen felhasználóról, aki megpróbált hozzáférni egy Otthonhoz, jelezve, hogy a Lezárási mód a tervezett módon működik.
Bár úgy tűnik, hogy a kihasználás későbbi verziói megtalálták a módját az értesítések blokkolásának, a kutatók nem találtak bizonyítékot arra, hogy valóban megkerülhette volna a Lezárási módot – csupán elnémítja azokat az értesítéseket, amelyek figyelmeztették a felhasználót a jogosulatlan hozzáférési kísérletekre.
A Pegasus alattomos természete ellenére a legtöbbünk számára az a jó hír, hogy továbbra is célzott támadás. Ezenkívül az NSO Group által kifejlesztett eszközöket csak a kormányoknak értékesítik, ezért „államilag szponzorált spyware-nek” nevezik. Természetesen nem minden kormányzati szerv etikus a megfigyelés terén. Azonban továbbra is nyugodtan kijelenthetjük, hogy nem valószínű, hogy találkozni fog a Pegasusszal, hacsak nem vesz részt olyan munkában, amely felkeltheti egy korrupt rezsim figyelmét.
Azok számára, akik „magas kockázatú” felhasználók, itt érhető el az Apple zárolási módja Míg a legtöbb hétköznapi ember számára túl sok használhatósági kompromisszumot jelent, a Citizen Lab erősen ajánlja mindenkinek, aki úgy gondolja, hogy fennáll annak a veszélye, hogy a Pegasus vagy más államilag támogatott kémprogramok célpontjaivá válnak.