Il famigerato spyware Pegasus è tornato nelle notizie questa settimana quando un team di ricercatori di sicurezza evidenzia una nuova”tripla minaccia”di exploit utilizzati dal malware per condurre attacchi informatici mirati per tutto il 2022.
Pegasus è un Strumento spyware”industriale”sviluppato dalla società tecnologica israeliana NSO Group, apparentemente esclusivamente per essere utilizzato negli sforzi antiterrorismo da parte dei governi. Mentre Pegasus esiste dal 2014, ha fatto notizia due anni fa quando un’analisi forense condotta da Amnesty International e Citizen Lab dell’Università di Toronto hanno rivelato lo spyware era responsabile di “sorveglianza illegale diffusa, persistente e continua e di violazioni dei diritti umani”, essendo stato utilizzato per prendere di mira e spiare dozzine di “difensori dei diritti umani (HRD) e giornalisti in tutto il mondo”.
Con una mossa rara, Apple ha successivamente avviato una massiccia causa legale contro NSO Group, descrivendo l’azienda e coloro che vi lavorano come”mercenari amorali del 21° secolo che hanno creato macchinari di sorveglianza informatica altamente sofisticati che invitano la routine e abuso flagrante”. Ha anche istituito un fondo per organizzazioni come Citizen Lab e Amnesty Tech per assistere con la loro ricerca e difesa sulla sorveglianza informatica, seminandolo con un iniziale di $ 10 milioni e promettendo di aumentare il piatto da eventuali danni derivanti dalla causa contro NSO Group.
Mentre Apple spera di citare in giudizio NSO Group, purtroppo i tribunali si muovono lentamente e, nel frattempo, Pegasus continua a essere utilizzato per scopi nefandi. Le cose si sono calmate dopo un rapporto della metà del 2021 secondo cui lo spyware Pegasus aveva preso di mira i funzionari del Dipartimento di Stato degli Stati Uniti. Tuttavia, un nuovo rapporto di ?Citizen Lab? rivela che Pegasus è ancora attivo ma ha volato sotto il radar nell’ultimo anno o giù di lì.
Una tripla minaccia zero-click
In particolare, i ricercatori del Citizen Lab hanno scoperto tre nuove”catene di exploit zero-click”utilizzate da Pegasus per tutto il 2022 per intensificare gli attacchi informatici contro i diritti umani difensori, giornalisti e altri”obiettivi della società civile”in tutto il mondo.
Lungi dall’essere utilizzato per il suo scopo dichiarato di antiterrorismo e lotta alla tratta di esseri umani e ad altri crimini organizzati, Pegasus sembra invece essere diventato uno strumento di regimi oppressivi. Gli ultimi obiettivi Pegasus identificati da Citizen Labs coinvolgono due difensori dei diritti umani del Centro PRODH, un’organizzazione in Messico che rappresenta le vittime di abusi militari come esecuzioni extragiudiziali e sparizioni forzate.
Le infezioni da Pegasus tra i membri del Centro PRODH risalgono almeno al 2015, come riportato da Citizen Lab spiega nel suo rapporto:
“Un caso ampiamente pubblicizzato di sparizioni rilevanti per questo caso di infezione da spyware si è verificato nel settembre 2015 quando un gruppo di 43 studenti di un insegnante sono stati fatti sparire con la forza dopo essersi recati a Iguala per protestare contro le pratiche di assunzione degli insegnanti. La loro successiva scomparsa è indicata come il”rapimento di massa di Iguala”o semplicemente il”caso Ayotzinapa”. Nel 2017, abbiamo riferito che tre membri dell’organizzazione messicana per l’assistenza legale e i diritti umani, Centro PRODH, sono stati presi di mira con lo spyware Pegasus, insieme agli investigatori coinvolti nel caso Ayotzinapa. Al momento del targeting, che era il 2016, il Centro PRODH rappresentava le famiglie degli studenti scomparsi.”
Tuttavia, mentre il gioco del gatto col topo tra Apple e Pegasus continua, NSO Group ha dovuto diventa più creativo nella ricerca di nuovi exploit, comprese le cosiddette vulnerabilità”zero clic”in cui Pegasus può installarsi da solo e iniziare a spiare un iPhone senza richiedere alcuna interazione da parte dell’utente.
Citizen Lab ne ha trovati tre exploit pericolosi su due iPhone con iOS 15 e iOS 16, utilizzati dallo staff del Centro PRODH. Uno apparteneva a Jorge Santiago Aguirre Espinosa, il direttore del Centro PRODH, che era stato anche lui identificato come obiettivo di Pegasus nel 2017. L’altro apparteneva a María Luisa Aguilar Rodríguez, Coordinatrice Internazionale del Centro PRODH. Secondo quanto riferito, Pegasus era attivo sul dispositivo del signor Aguirre il 22 giugno 2022, la stessa data in cui la commissione per la verità del Messico ha tenuto una cerimonia di avvio dell’indagine sulle violazioni dei diritti umani da parte dell’esercito messicano. Il telefono della signora Rodríguez è stato infettato il giorno successivo e successivamente infettato in altre due occasioni nel settembre 2022.
I tre exploit, denominati LATENTIMAGE, FINDMYPWN e PWNYOURHOME, sfruttano tutti le vulnerabilità di sicurezza in iOS 15 e iOS 16, in particolare difetti nel codice alla base delle funzionalità Trova il mio, Messaggi e Home di Apple. La maggior parte degli attacchi è stata rilevata su dispositivi con iOS 15 poiché era attuale all’epoca, sebbene PWNYOURHOME fosse distribuibile contro iOS 16.0.3.
Fortunatamente, Citizen Lab non ha riscontrato casi simili su dispositivi con iOS 16.1 o versioni successive. Ciò suggerisce che Apple ha corretto questi difetti e, nel caso di PWNYOURHOME, i ricercatori hanno condiviso”artefatti forensi”che hanno aiutato Apple a sistemare le cose con HomeKit in iOS 16.3.1.
Purtroppo, è probabilmente solo una questione di tempo prima che NSO Group ne trovi di nuovi che possono essere sfruttati. Ecco perché è sempre una buona idea mantenere il tuo iPhone aggiornato all’ultima versione di iOS, specialmente quando le note di rilascio di Apple indicano patch per vulnerabilità che sono state”sfruttate attivamente”.
Utilizzo della modalità di blocco di iOS 16
I ricercatori di Citizen Lab hanno anche notato che PWNYOURHOME ha attivato avvisi sui dispositivi in cui era stata abilitata la nuova modalità di blocco ad alta sicurezza di Apple. Inizialmente, l’exploit ha attivato le notifiche di un utente sconosciuto che tentava di accedere a una casa, dimostrando che la modalità di blocco funziona come previsto.
Sebbene le versioni successive dell’exploit sembrino aver trovato un modo per bloccare le notifiche, i ricercatori non hanno trovato alcuna prova che possa effettivamente aggirare la modalità di blocco, limitandosi a silenziare le notifiche che avvisavano un utente dei tentativi di accesso non autorizzato.
Nonostante la natura insidiosa di Pegasus, la buona notizia per la maggior parte di noi è che rimane un attacco mirato. Inoltre, gli strumenti sviluppati da NSO Group vengono venduti solo ai governi, motivo per cui vengono definiti”spyware sponsorizzati dallo stato”. Naturalmente, non tutte le agenzie governative sono etiche quando si tratta di sorveglianza. Tuttavia, è ancora sicuro dire che è improbabile che incontri Pegasus a meno che tu non sia coinvolto nel tipo di lavoro che potrebbe attirare l’attenzione di un regime corrotto.
Per coloro che sono utenti”ad alto rischio”, è qui che arriva la Modalità di blocco di Apple in. Sebbene comporti troppi compromessi di usabilità per la maggior parte delle persone comuni, Citizen Lab lo incoraggia vivamente per chiunque pensi di poter essere a rischio di essere preso di mira da Pegasus o da altri spyware sponsorizzati dallo stato.