De beruchte Pegasus-spyware is deze week weer in het nieuws nu een team van beveiligingsonderzoekers een nieuwe”drievoudige dreiging”benadrukt van exploits die door de malware worden gebruikt om gerichte cyberaanvallen uit te voeren gedurende 2022.
Pegasus is een”industriële”spywaretool die is ontwikkeld door het Israëlische technologiebedrijf NSO Group, ogenschijnlijk puur voor gebruik bij terrorismebestrijding door regeringen. Pegasus bestaat al sinds 2014, maar haalde twee jaar geleden de krantenkoppen toen een forensische analyse werd uitgevoerd door Amnesty International en Citizen Lab van de Universiteit van Toronto hebben de spyware onthuld was verantwoordelijk voor”wijdverbreide, aanhoudende en voortdurende onwettige bewaking en mensenrechtenschendingen”, nadat hij was gebruikt om tientallen”mensenrechtenverdedigers (HRD’s) en journalisten over de hele wereld te bespioneren en te bespioneren”.
In een zeldzame actie startte Apple vervolgens een massale rechtszaak tegen NSO Group, waarbij het bedrijf en degenen die ervoor werken werden beschreven als”amorele 21e-eeuwse huurlingen die zeer geavanceerde cyberbewakingsmachines hebben gemaakt die uitnodigt tot routine en flagrant misbruik.” Het heeft ook een fonds opgericht voor organisaties als Citizen Lab en Amnesty Tech om te helpen bij hun onderzoek naar en belangenbehartiging op het gebied van cybersurveillance, waarbij het een initiële $ 10 miljoen kreeg en beloofde om eventuele schade die voortvloeit uit de rechtszaak tegen NSO Group aan de pot toe te voegen.
Terwijl Apple hoopt de NSO Group te vervolgen, gaan de rechtbanken helaas langzaam en wordt Pegasus in de tussentijd nog steeds gebruikt voor snode doeleinden. Het werd stiller na een rapport uit medio 2021 dat de Pegasus-spyware gericht was op functionarissen van het Amerikaanse ministerie van Buitenlandse Zaken. Een nieuw rapport van ?Citizen Lab? onthult dat Pegasus nog steeds actief is, maar het afgelopen jaar onder de radar heeft gevlogen.
Een Zero-Click Triple Threat
Concreet hebben onderzoekers van Citizen Lab drie nieuwe”zero-click exploit chains”ontdekt die door Pegasus in 2022 worden gebruikt om cyberaanvallen tegen mensenrechten op te voeren verdedigers, journalisten en andere’doelen van het maatschappelijk middenveld’wereldwijd.
Pegasus wordt niet gebruikt voor het verklaarde doel van terrorismebestrijding en de bestrijding van mensenhandel en andere georganiseerde misdaad, maar lijkt in plaats daarvan een instrument van onderdrukkende regimes te zijn geworden. De nieuwste Pegasus-doelen die door Citizen Labs zijn geïdentificeerd, hebben betrekking op twee mensenrechtenverdedigers van Centro PRODH, een organisatie in Mexico die slachtoffers vertegenwoordigt van militaire misstanden, zoals buitengerechtelijke executies en gedwongen verdwijningen.
Pegasus-infecties onder leden van Centro PRODH gaan minstens terug tot 2015, zoals Citizen Lab legt in zijn rapport uit:
“Een veelbesproken geval van verdwijningen die relevant zijn voor dit geval van spyware-infectie deed zich voor in september 2015 toen een groep van 43 leerlingen van een leraar opleidingsschool werden met geweld verdwenen nadat ze naar Iguala waren gereisd om te protesteren tegen het inhuren van leraren. Hun daaropvolgende verdwijning wordt de”massale ontvoering van Iguala”of eenvoudigweg de”Ayotzinapa-zaak”genoemd. In 2017 meldden we dat drie leden van de Mexicaanse organisatie voor rechtsbijstand en mensenrechten, Centro PRODH, het doelwit waren van Pegasus-spyware, samen met onderzoekers die betrokken waren bij de Ayotzinapa-zaak. Op het moment van de aanval, in 2016, vertegenwoordigde Centro PRODH de families van de verdwenen studenten. wees creatiever in het vinden van nieuwe exploits, waaronder zogenaamde”zero-click”kwetsbaarheden waar Pegasus zichzelf kan installeren en een iPhone kan bespioneren zonder enige tussenkomst van de gebruiker.
Citizen Lab heeft er drie gevonden gevaarlijke exploits op twee iPhones met iOS 15 en iOS 16, gebruikt door medewerkers van Centro PRODH. Een ervan was van Jorge Santiago Aguirre Espinosa, de directeur van Centro PRODH, die ook geïdentificeerd was als doelwit van Pegasus in 2017. De andere was van María Luisa Aguilar Rodríguez, internationale coördinator bij Centro PRODH. Pegasus was naar verluidt actief op het apparaat van de heer Aguirre op 22 juni 2022, dezelfde datum waarop de Mexicaanse waarheidscommissie een ceremonie hield om haar onderzoek naar mensenrechtenschendingen door het Mexicaanse leger te lanceren. De telefoon van mevrouw Rodríguez werd de volgende dag geïnfecteerd en vervolgens nog twee keer geïnfecteerd in september 2022.
De drie exploits, genaamd LATENTIMAGE, FINDMYPWN en PWNOURHOME, maken allemaal misbruik van beveiligingsproblemen in iOS 15 en iOS 16, met name gebreken in de code die ten grondslag ligt aan de functies Zoek mijn, Berichten en Thuis van Apple. De meeste aanvallen werden gevonden op apparaten met iOS 15, aangezien dat destijds actueel was, hoewel PWNYOURHOME inzetbaar was tegen iOS 16.0.3.
Gelukkig heeft Citizen Lab geen gevallen hiervan gezien op apparaten met iOS 16.1 of nieuwer. Dit suggereert dat Apple deze fouten heeft gepatcht en in het geval van PWNYOURHOME deelden onderzoekers”forensische artefacten”die Apple hielpen met HomeKit in iOS 16.3.1.
Helaas is het waarschijnlijk slechts een kwestie van tijd voordat NSO Group nieuwe vindt die kunnen worden uitgebuit. Daarom is het altijd een goed idee om je iPhone up-to-date te houden met de allernieuwste iOS-versie, vooral wanneer de release-opmerkingen van Apple patches aangeven voor kwetsbaarheden die”actief zijn misbruikt”.
De Lockdown-modus van iOS 16 gebruiken
Onderzoekers van Citizen Lab merkten ook op dat PWNYOURHOME waarschuwingen activeerde op apparaten waarop de nieuwe hoogbeveiligde Lockdown-modus van Apple was ingeschakeld. Aanvankelijk veroorzaakte de exploit meldingen van een onbekende gebruiker die probeerde toegang te krijgen tot een huis, wat aantoont dat de vergrendelingsmodus werkt zoals ontworpen.
Hoewel latere versies van de exploit een manier lijken te hebben gevonden om de meldingen te blokkeren, vonden de onderzoekers geen bewijs dat het daadwerkelijk de Lockdown-modus kon omzeilen./p>
Ondanks de verraderlijke aard van Pegasus, is het goede nieuws voor de meesten van ons dat het een gerichte aanval blijft. Verder worden de door NSO Group ontwikkelde tools alleen verkocht aan overheden, daarom wordt het ook wel’door de staat gesponsorde spyware’genoemd. Natuurlijk zijn niet alle overheidsinstanties ethisch als het om toezicht gaat. Het is echter nog steeds veilig om te zeggen dat het onwaarschijnlijk is dat u Pegasus zult tegenkomen, tenzij u betrokken bent bij het soort werk dat de aandacht van een corrupt regime zou kunnen trekken.
Voor degenen die”risicovolle”gebruikers zijn, daar komt de Lockdown Mode van Apple in. Hoewel het voor de meeste gewone mensen te veel compromissen met zich meebrengt, moedigt Citizen Lab het ten zeerste aan voor iedereen die denkt het risico te lopen het doelwit te worden van Pegasus of andere door de staat gesponsorde spyware.